Не могу запустить Kaspersky virus removal tool

[Vdeg]

Malwarebytes' Anti-Malware - деинсталлируйте.

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
C:\WINDOWS\system32\drivers\cmeukmxe.sys
C:\WINDOWS\system32\drivers\iwjenogc.sys
C:\WINDOWS\system32\drivers\lztzhdqd.sys
C:\WINDOWS\system32\drivers\mbiszgen.sys
C:\WINDOWS\system32\drivers\qzwjguou.sys
C:\WINDOWS\system32\drivers\tjewenya.sys	 	

Driver::
cmeukmxe
iwjenogc
lztzhdqd
mbiszgen
qzwjguou
tjewenya

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

Все обновления на Windows установлены?

Malwarebytes' Anti-Malware с компа удалил.

 

Обновления MS Windows установлены все.

 

А имя тестового файла должно быть именно CFScript.txt ?

 

Я сначала присвоил файлу другое имя, кинул его на пиктограмму ComboFix.exe, но выдалось такое сообщение http://vdeg.org.ru/misc/png/CFScript.png , после чего окно ComboFix.exe закрывается и никакого отчёта не создаётся

Изменено 7 марта, 2012 пользователем Vdeg

[Roman_Five]

А имя тестового файла должно быть именно CFScript.txt ?

да.

 

после чего окно ComboFix.exe закрывается и никакого отчёта не создаётся

перезагружаться пробовали?

[Vdeg]

перезагружаться пробовали?

Нет, но после переименования файла в CFScript.txt.txt удалось "натравить" на него ComboFix.exe.

 

Новый лог работы ComboFix во вложении.

 

Рекомендую исправить в помощью AVZ - меню "Файл\Мастер поиска и устранения проблем" (это серьезная уязвимость для вашей системы)

Спасибо, исправил

ComboFix.txt

[Tiare]

Запакуйте папку C:\Qoobox\Quarantine\ с паролем virus через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

 

 

 

Запустил, дождался появления кнопки Scan (я так понял, что утилита завершила работу?) и нажал Save

Повторите лог GMER

Нажмите на кнопку Scan и дождитесь окончания проверки

 

 

+ повторите лог RSIT

[Vdeg]

Запакуйте папку C:\Qoobox\Quarantine\ с паролем virus через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

AddRemove-Новый Бармалей.reg.dat,

BHO-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat,

catchme.log,

Service_cmeukmxe.reg.dat,

Service_iwjenogc.reg.dat,

Service_lztzhdqd.reg.dat,

Service_mbiszgen.reg.dat,

Service_qzwjguou.reg.dat,

Service_tjewenya.reg.dat,

tcpip.reg,

Toolbar-{91397D20-1446-11D4-8AF4-0040CA1127B6}.reg.dat,

Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat,

Toolbar-Locked.reg.dat,

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat

 

Файлы в процессе обработки.

 

BCBSMP35.BPL.vir,

IsUn0419.exe.vir

 

Вредоносный код в файлах не обнаружен.

 

catchme.txt

 

Файл нулевой длины.

 

С уважением, Лаборатория Касперского

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

 

Повторите лог GMER

ComboFix удалил по Вашей инструкции.

 

OTCleanIt скачал, запустил, нажал Clean up, комп ушёл на перезагрузку.

 

GMER запустил, и почти сразу после начала сканирования высветилась красная строка : http://vdeg.org.ru/misc/png/hidden_module_gmer.png

 

Сейчас вот появилась вот эта надпись : http://vdeg.org.ru/misc/png/hidden_module_gmer2.png

Изменено 7 марта, 2012 пользователем Vdeg

[Tiare]

GMER запустил, и почти сразу после начала сканирования высветилась красная строка : http://vdeg.org.ru/misc/png/hidden_module_gmer.png

внимательно прочитайте еще раз

[Vdeg]

Вот новые логи GMER и RSIT.

gmer2.log

info.txt

log.txt

Изменено 7 марта, 2012 пользователем Vdeg

[Tiare]

Пофиксите в HijackThis следующие строчки.

O2 - BHO: (no name) - AutorunsDisabled - (no file)

 

 

Знакомо? Если нет, покажите содержимое (файл - ПКМ - свойства)

======Папка назначеных зданий======

 

C:\WINDOWS\tasks\MP Scheduled Scan.job

C:\WINDOWS\tasks\MpIdleTask.job

 

C:\RootRepeal report 03-07-12 (17-11-06).txt отчет прикрепите.

[Vdeg]

C:\RootRepeal report 03-07-12 (17-11-06).txt отчет прикрепите.

Этот файл содержит только строку

==EOF==

 

Пофиксите в HijackThis следующие строчки.

O2 - BHO: (no name) - AutorunsDisabled - (no file)

 

 

Знакомо?

Строку "BHO AutorunsDisabled " пофиксил.

 

покажите содержимое (файл - ПКМ - свойства)

Там запускаются

 

"C:\Program Files\Microsoft Security Client\Antimalware\MpCmdRun.exe" Scan -ScheduleJob -WinTask -RestrictPrivilegesScan

и

"C:\Program Files\Microsoft Security Client\Antimalware\MpCmdRun.exe" -IdleTask -TaskName MpIdleTask

[Tiare]

Деинсталлируйте Gmer, запустите C:\WINDOWS\gmer_uninstall.cmd

Запустите OTCleanIt, запустите, нажмите Clean up

 

 

Как будет возможность удалите остатки AVP Tool driver в безопасном режиме.

Удалите остатки Kaspersky Virus Removal Tool с помощью этой утилиты. Выбирайте удаление AVP Tool driver

Изменено 7 марта, 2012 пользователем Tiare

[Vdeg]

Деинсталлируйте Gmer, запустите C:\WINDOWS\gmer_uninstall.cmd

А нет такого файла... на всём жестком диске нет.

 

Запустите OTCleanIt, запустите, нажмите Clean up

Выполнено.

[Vdeg]

Сейчас вот появилась вот эта надпись : http://vdeg.org.ru/misc/png/hidden_module_gmer2.png

С помощью GMER я выгрузил этот скрытый модуль в файл (длиной 24576 байт).

 

Может ли этот файл пригодиться для анализа ?

 

На всякий случай отправил этот файл через форму http://support.kaspersky.ru/virlab/helpdesk.html

Изменено 8 марта, 2012 пользователем Vdeg

[Roman_Five]

отправьте его в вирлаб через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

[Vdeg]

Полученный ответ сообщите в этой теме.

Пока пришло только вот это :

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

dump_hidden_module

 

Файл в процессе обработки.

 

С уважением, Лаборатория Касперского

[Tiare]

С помощью GMER я выгрузил этот скрытый модуль в файл (длиной 24576 байт).

 

Может ли этот файл пригодиться для анализа ?

 

проверьте на вирустотал, ссылку приложите.

 

Больше ответов по ранее отправленному карантину не приходило?