Посмотрите пожалуйста логи

[- 1 -]

Здравствуйте!

Есть подозрение что на компьютере находится вирус, но обнаружить его не удается (использовал Dr.Web Cureit). Пробовал установить KIS 2011, но установка обрывается и выскакивает ошибка что-то типа установка невозможна, нажимаю ок и происходит откат установки. Вчера скачивал бесплатную утилиту Kaspersky Virus Removal Tool 2010 которая обнаружила вирус - trojan.win32.Zapchast.fcc который и удалила. Снова пробовал установить KIS 2011, также вылетала ошибка при установки, но вместо ок просто закрыл окошко и установка удалась. После установки антивирус попросил перезагрузить компьютер, что я и сделал. Компьютер перезагрузился и начал грузиться рабочий стол, но вылетела ошибка синего экрана и компьютер снова перезагружается и так по кругу. Спасало лишь включение пк в безопасном режиме. Тогда приходилось удалять антивирус и пк снова мог загрузиться в нормальном режиме.

Сделал отчет. Посмотрите пожалуйста.

AVZ - virusinfo_syscure.zip - virusinfo_syscure.zip

AVZ - virusinfo_syscheck.zip - virusinfo_syscheck.zip

HJT - hijackthis.log - hijackthis.log

Getsysteminfo - GetSystemInfo_USER_user_2011_03_19_14_26_48.zip

[Roman_Five]

Деинсталлируйте Pivim Multibar и PokerStars

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой (KIS поставите позднее):

- Comodo Internet Security.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

Пофиксите в HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\glooxe.exe,c:\windows\system32\fc7152e1.exe,c:\windows\system32\dfxasc.exe,
O2 - BHO: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\Pivim Multibar\multishop.dll
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Pivim Multibar\pivim.dll
O3 - Toolbar: Pivim Multibar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Pivim Multibar\pivim.dll
O9 - Extra button: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\Pivim Multibar\multishop.dll
O9 - Extra 'Tools' menuitem: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\Pivim Multibar\multishop.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Programs\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job','');
QuarantineFile('c:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job','');
QuarantineFile('C:\WINDOWS\Fonts\Backup.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\Otr.exe','');
QuarantineFile('C:\WINDOWS\msa.exe','');
QuarantineFile('c:\windows\system32\glooxe.exe','');
QuarantineFile('c:\windows\system32\fc7152e1.exe','');
QuarantineFile('c:\windows\system32\dfxasc.exe','');
QuarantineFile('D:\Trading\Omega Research\Program\orschd.exe','');
QuarantineFile('D:\Games\Virtual djoy\PPMouse.exe','');
QuarantineFile('C:\WINDOWS\system32\aedfe7_d.dll','');
QuarantineFile('C:\WINDOWS\system32\asidbe.dll','');
QuarantineFile('C:\WINDOWS\system32\asxpo.dll','');
QuarantineFile('C:\WINDOWS\system32\histapi.dll','');
QuarantineFile('C:\WINDOWS\system32\mosecur.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\avipbb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\US30XP.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\PPortJoy.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\PPJoyBus.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
QuarantineFile('D:\Trading\SmartCOM 2\SmartCom2.exe','');
DeleteFile('c:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
DeleteFile('c:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('c:\windows\system32\dfxasc.exe');
DeleteFile('c:\windows\system32\fc7152e1.exe');
DeleteFile('c:\windows\system32\glooxe.exe');
DeleteFile('C:\WINDOWS\msa.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\Otr.exe');
DeleteFile('C:\WINDOWS\Fonts\Backup.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

- обновить КАВ/KIS до актуальной версии

 

Сделайте новые логи по правилам.

 

Драйверы, требующие обновления

=> Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC: Новые доступные обновления

http://www.realtek.com.tw/downloads/downlo...;DownTypeID=3#1

[- 1 -]

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию:

https://my.kaspersky.com/ru/support/viruslab.

Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов.

Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию.

Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

 

aedfe7_d.dll,

asidbe.dll,

asxpo.dll,

bcqr00017.dat,

bcqr00018.dat,

bcqr00019.dat,

bcqr00020.dat,

bcqr00021.dat,

bcqr00022.dat,

bcqr00023.dat,

bcqr00024.dat,

bcqr00025.dat,

bcqr00026.dat,

bcqr00027.dat,

bcqr00028.dat,

bcqr00029.dat,

bcqr00030.dat,

bcqr00033.dat,

bcqr00034.dat,

bcqr00039.dat,

bcqr00040.dat,

bcqr00043.dat,

bcqr00044.dat,

histapi.dll,

mosecur.dll,

orschd.exe,

PPMouse.exe,

SmartCom2.exe,

sptd.sys,

US30XP.sys

 

Файлы в процессе обработки.

 

atapi.sys,

bcqr00035.dat,

bcqr00036.dat,

bcqr00037.dat,

bcqr00038.dat,

PPJoyBus.sys,

PPortJoy.sys

 

Вредоносный код в файлах не обнаружен.

 

С уважением, Лаборатория Касперского

 

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700

http://www.kaspersky.ru http://www.viruslist.ru

 

 

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

 

If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile:

https://my.kaspersky.com/en/support/viruslab .

This option is available for the Licensed Kaspersky Lab customers only.

If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en.

This link sends your file to the Virus Lab for inspection.

All the files submitted for scanning from unregistered addresses are verified in the common queue order.

 

aedfe7_d.dll,

asidbe.dll,

asxpo.dll,

bcqr00017.dat,

bcqr00018.dat,

bcqr00019.dat,

bcqr00020.dat,

bcqr00021.dat,

bcqr00022.dat,

bcqr00023.dat,

bcqr00024.dat,

bcqr00025.dat,

bcqr00026.dat,

bcqr00027.dat,

bcqr00028.dat,

bcqr00029.dat,

bcqr00030.dat,

bcqr00033.dat,

bcqr00034.dat,

bcqr00039.dat,

bcqr00040.dat,

bcqr00043.dat,

bcqr00044.dat,

histapi.dll,

mosecur.dll,

orschd.exe,

PPMouse.exe,

SmartCom2.exe,

sptd.sys,

US30XP.sys

 

These files are in process.

 

atapi.sys,

bcqr00035.dat,

bcqr00036.dat,

bcqr00037.dat,

bcqr00038.dat,

PPJoyBus.sys,

PPortJoy.sys

 

No malicious code were found in these files.

 

Best Regards, Kaspersky Lab

 

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia

Tel./Fax: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com

[Roman_Five]

- 1 -

Сделайте новые логи по правилам.

?

[- 1 -]

- 1 -

?

 

Новые логи:

AVZ - virusinfo_syscure.zip - virusinfo_syscure.zip

AVZ - virusinfo_syscheck.zip - virusinfo_syscheck.zip

HJT - hijackthis.log - hijackthis.log

GetSystemInfo - GetSystemInfo_USER_user_2011_03_19_21_01_31.zip

Internet Explorer до версии 8.0 не удается обновить из-за ошибки при установки:

 

После чего выскакивает окно с содержанием:

 

Нажимаю download загружаю указанный файл, запускаю и выдается следующая ошибка:

 

KIS 2011 опять не удалось установить, снова происходит тоже самое что я описывал вначале темы, т.е. снова ошибка: установка не возможна и просходит откат, после чего выскакивает окно: "программа установки не смогла установить Антивирус Касперского 2011. Возможно ваш компьютер заражен. Хотите загрузить утилиту AVPTool для проверки?"

[Roman_Five]

Нажимаю download загружаю указанный файл, запускаю и выдается следующая ошибка:

для WInXP SP3 грузите? судя по ошибке - для SP2

 

=> McAfee Security Scan Plus

- удалите

 

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Полученный лог из корня диска С приложите к новому сообщению.

 

Сделайте лог GMER

http://virusinfo.info/showthread.php?t=40118

[- 1 -]

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Полученный лог из корня диска С приложите к новому сообщению.

 

Сделайте лог GMER

http://virusinfo.info/showthread.php?t=40118

-----------------------------------------------------------

 

TDSSkiller - TDSSKiller.2.4.21.0_19.03.2011_23.50.48_log.txt

GMER - gmer.log

Изменено 19 марта, 2011 пользователем - 1 -

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\Drivers\scsiport.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\VDRV9000.SYS','');
BC_ImportQuarantineList;
BC_QrFile('C:\WINDOWS\system32\drivers\VDRV9000.SYS');
BC_QrFile('C:\WINDOWS\System32\Drivers\scsiport.sys');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

+ лог GSI

 

 

 

второй ответ из вирлаба не приходил?

[thyrex]

Internet Explorer до версии 8.0 не удается обновить из-за ошибки при установки:

Системные файлы от 2002 года - это явно не SP3. Сами не поправляли реестр для того, чтобы какие-нибудь игры стали запускаться?

[- 1 -]

Системные файлы от 2002 года - это явно не SP3. Сами не поправляли реестр для того, чтобы какие-нибудь игры стали запускаться?

да, все верно

 

Полученный ответ сообщите в этой теме.

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию:

https://my.kaspersky.com/ru/support/viruslab.

Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов.

Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию.

Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

 

bcqr00001.dat,

bcqr00002.dat,

bcqr00003.dat,

bcqr00004.dat,

bcqr00005.dat,

bcqr00006.dat

 

Вредоносный код в файлах не обнаружен.

 

С уважением, Лаборатория Касперского

 

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700

http://www.kaspersky.ru http://www.viruslist.ru

 

 

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

 

If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile:

https://my.kaspersky.com/en/support/viruslab .

This option is available for the Licensed Kaspersky Lab customers only.

If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en.

This link sends your file to the Virus Lab for inspection.

All the files submitted for scanning from unregistered addresses are verified in the common queue order.

 

bcqr00001.dat,

bcqr00002.dat,

bcqr00003.dat,

bcqr00004.dat,

bcqr00005.dat,

bcqr00006.dat

 

No malicious code were found in these files.

 

Best Regards, Kaspersky Lab

 

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia

Tel./Fax: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com

 

Сделайте новые логи по правилам.

+ лог GSI

Новые логи:

AVZ - virusinfo_syscure.zip - virusinfo_syscure.zip

AVZ - virusinfo_syscheck.zip - virusinfo_syscheck.zip

HJT - hijackthis.log - hijackthis.log

Getsysteminfo - GetSystemInfo_USER_user_2011_03_20_11_14_53.zip

второй ответ из вирлаба не приходил?

Нет, второго ответа из вирлаба не было.

[thyrex]

да, все верно

Отсюда и проблемы

 

Во втором карантине все файлы легитимные

 

Выполните скрипт в AVZ

begin
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'c:\windows\system32\guard32.dll');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Больше плохого не видно

 

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

 

Если установка не пойдет, придется возвращать исправленные значения в реестра к прежнему виду

 

Установите Internet Explorer 8 (даже если им не пользуетесь)

[- 1 -]

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

установка не пошла

Установите Internet Explorer 8 (даже если им не пользуетесь)

стоит

[thyrex]

Если установка не пойдет, придется возвращать исправленные значения в реестра к прежнему виду

Тогда без этого никак. И только после этого снова пробовать ставить SP3

[- 1 -]

без установки SP3 не установить KIS 2011?

а если как бы это по мягче сказать... и не нарушить правила, а конкретно п.12. Ну в общем я надеюсь вы поняли почему я не могу скачать и установить SP3 с официального сайта?

Изменено 20 марта, 2011 пользователем - 1 -

[thyrex]

без установки SP3 не установить KIS 2011?

Вполне возможно, что синий экран после установки антивируса может быть связан с Вашими манипуляциями