K Crystal and Exploit

[Lll]

Проблема схожая с http://forum.kasperskyclub.ru/index.php?showtopic=22875, только что вместо KIS 11 KCrystal.

 

Имя проблемного события: APPCRASH

Имя приложения: avp.exe

Версия приложения: 9.0.0.199

Штамп времени приложения: 4bab659e

Имя модуля с ошибкой: Ushata.dll

Версия модуля с ошибкой: 9.0.0.199

Штамп времени модуля с ошибкой: 4bab75b7

Код исключения: c0000005

Смещение исключения: 000020c5

Версия ОС: 6.0.6002.2.2.0.768.3

Код языка: 1049

Дополнительные сведения 1: ca78

Дополнительные сведения 2: 50cdfd8c8db26c264da3c86e16e81588

Дополнительные сведения 3: 79c5

Дополнительные сведения 4: a1ad850ab7f318cfa31e2b1e412b3b75

 

Дополнительные сведения о проблеме

Код черпака: 1811348419

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

Диск F - флэшка? не забудьте подключить перед выполнением скрипта.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Windows\system32\mcp.cpl','');
QuarantineFile('C:\Windows\Installer\{D27AB79F-B1B3-49E1-97E7-94E30882F01F}\_112AFB1E788558580027CB.exe','');
QuarantineFile('C:\Windows\Installer\{A1400000-0000-0000-0000-074957833700}\_SHCT_Lingvo.exe_A1400000000000000000074957833700.exe','');
QuarantineFile('C:\Windows\Installer\{350FB27C-CF62-4EF3-AF9D-70FF313FE221}\iTunesIco.exe','');
QuarantineFile('C:/Program Files/Common Files/Akamai/netsession_win_062a651.dll','');
QuarantineFile('C:\Windows\system32\DRIVERS\usbser_lowerflt.sys','');
QuarantineFile('C:\Program Files\4GAME\R2Online\frost\frost.sys','');
QuarantineFile('c:\program files\common files\akamai\netsession_win_062a651.dll','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Windows\Installer\{701FBA22-A157-4F69-91A5-CBED824ADF7A}\AS3SE_StartMenu_188BCF12305644C9A66DF7A168ABCB10.exe','');
QuarantineFile('C:\Windows\Installer\{701FBA22-A157-4F69-91A5-CBED824ADF7A}\AS3SE_Desktop_188BCF12305644C9A66DF7A168ABCB10.exe','');
QuarantineFile('C:\Windows\Installer\{701FBA22-A157-4F69-91A5-CBED824ADF7A}\ARPPRODUCTICON.exe','');
QuarantineFile('C:\Windows\Installer\f5fd0e.msi','');
QuarantineFile('C:\Windows\Installer\dd02e.msi','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Рекомендуется удалить ПО, которое может конфликтовать

с установленным Kaspersky Crystal:

- Symantec *

Если данные программы были ранее удалены некорректно,

можно воспользоваться специализированными утилитами

по очистке их следов с сайтов производителей данного ПО.

 

У Вас был установлен avptool. временно деинсталлируёте Crystal, воспользуйтесь утилитой (выберите удалить все возможные продукты, если не увидит avptool).

После перезагрузки установите обратно Crystal.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте новые логи по правилам.

Изменено 5 ноября, 2010 пользователем Roman_Five

[Lll]

отчет Malwarebytes

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Версия базы данных: 5050

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18975

 

05.11.2010 23:30:17

mbam-log-2010-11-05 (23-30-17).txt

 

Тип сканирования: Полное сканирование (C:\|D:\|F:\|)

Просканированные объекты: 451717

Времени прошло: 2 часов, 6 минут, 31 секунд

 

Зараженные процессы в памяти: 0

Зараженные модули в памяти: 0

Зараженные ключи в реестре: 0

Зараженные параметры в реестре: 0

Объекты реестра заражены: 0

Зараженные папки: 0

Зараженные файлы: 0

 

Зараженные процессы в памяти:

(Вредоносных программ не обнаружено)

 

Зараженные модули в памяти:

(Вредоносных программ не обнаружено)

 

Зараженные ключи в реестре:

(Вредоносных программ не обнаружено)

 

Зараженные параметры в реестре:

(Вредоносных программ не обнаружено)

 

Объекты реестра заражены:

(Вредоносных программ не обнаружено)

 

Зараженные папки:

(Вредоносных программ не обнаружено)

 

Зараженные файлы:

(Вредоносных программ не обнаружено)

 

 

Чистка реестра не помогла.

 

Ответ от лаборатории еще не пришел. Проблема всё ещё не решена

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

Изменено 5 ноября, 2010 пользователем Lll

[Lll]

как была решена в проблема в случае http://forum.kasperskyclub.ru/index.php?showtopic=22875? Судя по всему, причина одинакова, Exploit

[Roman_Five]

как была решена в проблема в случае

самого решения там нет: файлы взяты в карантин и была сделана полная проверка r-disk'ом...

а вот ещё пример

http://forum.kasperskyclub.ru/index.php?sh...st&p=339824

 

поищите у себя на компьютере через AVZ файлы clldr.dll, clldr.ini, fltlib.dll, fltlib.ini

инстукция - http://virusinfo.info/showthread.php?t=4567

[-=Kirill Strelets=-]

поищите у себя на компьютере через AVZ файлы clldr.dll, clldr.ini, fltlib.dll, fltlib.ini

+ также поищите файлы wtsapi32.dll, wtsapi32.ini