Отсутствует или поврежден черный список лицензионных ключей

8 марта, 2012

Ситуация та же, что и в шапке темы. "Отсутствует или поврежден черный список лицензионных ключей. Для продолжения работы запустите обновление." При запуске, обновление доходит до 8% и прекращается сообщением "Ошибка файловой операции". Изменение, восстановление или удаление не проходят из-за внутренней ошибки 2324. 998 с ссылкой на файл black.lst. Log'и AVZ и HijackThis прилагаю. Интересная особенность: при выключении и последующем включении компьютера, Касперский полностью обновляет сигнатуры угроз на актуальные на данный день, но через некоторое время (1-2 минуты) после завершения обновления снова выскакивает сообщение о повреждении черного списка. Такая ерунда с антивирусом начала твориться после посещения одного игрового сайта, при заходе на который, Касперский обнаружил троянскую программу Backdoor.Win32.Gbot.uds и предложил заблокировать доступ. Я нажал Заблокировать (антивирус в этот момент производил обновление сигнатур) и ПК, ни с того ни с сего, начал перезагружаться. Теперь постоянно выскакивает сообщение о повреждении черного списка. Подскажите, пожалуйста, как быть?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 9 марта, 2012 пользователем Saddler

9 марта, 2012

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('newdriver', 4);
StopService('newdriver');
QuarantineFile('\?\C:\WINDOWS\wetux.sys','');
QuarantineFile('C:\WINDOWS\bas.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MidiSyn.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\imagedrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\NSDriver.sys','');
QuarantineFile('C:\WINDOWS\wetux.sys','');
DeleteFile('C:\WINDOWS\wetux.sys');
DeleteFile('C:\WINDOWS\bas.dll');
DeleteFile('\?\C:\WINDOWS\wetux.sys');
DelBHO('855F3B16-6D32-4fe6-8A56-BBB695989046');
DelBHO('055FD26D-3A88-4e15-963D-DC8493744B1D');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32.exe');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

Сделайте новые логи по правилам.

вместо лога Hijackthis требуется 2 лога RSIT

9 марта, 2012

Спасибо огромное! Сообщение о поврежденном черном списке больше не появляется. Скрипт выполнил, архив с карантином создал, строки в HijackThis пофиксил. На счет Qurantine.zip: он оказался битым (без понятия почему, хотя скрипт по его созданию был выполнен без проблем), о чем мне и сообщили в письме из Лаборатории Касперского.

Новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Изменено 9 марта, 2012 пользователем Saddler

10 марта, 2012

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('newdriver', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\NSDriver.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\imagedrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MidiSyn.sys','');
QuarantineFile('C:\WINDOWS\wetux.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
QuarantineFile('bas.dll','');
DeleteFile('bas.dll');
DeleteFile('C:\WINDOWS\bas.dll');
DeleteFile('C:\WINDOWS\wetux.sys');
DeleteFile('C:\Documents and Settings\Антон\Local Settings\Temp\0.31741887845448524.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Антон\Local Settings\Temp\0.31741887845448524.exe');
DelAutorunByFileName('C:\WINDOWS\bas.dll');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Сделайте новые логи по правилам.

+

сделайте отчёт GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

10 марта, 2012

Скрипт выполнил, архив создал и отправил на проверку.

Ответ из Лаборатории Касперского:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

________________________________________________________________________________

Пересоздал архив вручную (не через AVZ). Установил пароль на архив: infected. Выслал повторно. Пришло точно такое же сообщение. При заполнении формы запроса в строке "Подробное описание возникшей ситуации:" указывал только слово virus или infected (после получения приведенного выше письма). Пробовал писать "Пароль на архив: virus" -> на почту приходит тоже сообщение. Может надо в этой строке действительно все подробно расписать?

Ссылка на страницу с результатами автоанализа отчета GSI: http://www.getsysteminfo.com/read.php?file...mp;key=71Q0WfUc

Log'и AVZ и RSIT + файл с протоколом GSI:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

GetSystemInfo_Main_Frame_Saddler_2012_03_10_19_09_48.zip

Изменено 10 марта, 2012 пользователем Saddler