Kaspersky Internet Security 7.0 не запускается

[a2618]

М-да уж.

Еще одна жертва поддельного антивируса.

Я с ним справлялся следующим образом:

перезагрузка в безопасном режиме, удаление этой дряни (хр секьюрити центр), очистка реестра с помощью регклинера и очистка автозагрузки от лишних записей.

перезагрузка и все в порядке.

 

Вобщем погуглив нашел такую вещь про хпцентр http://en.securitylab.ru/viruses/353283.php

Половины описаных ф-лов так и не нашел, удалял все что хоть немного совпадало с именами из ссылки.

Правил реестр. ни шиша все осталось как было.

Кста каспера смог запустить, установил в папку под названием Casper и переименовал авп.ехе в zxc.ехе(Все это делал в БР) тока в нормал режиме каспер орет что не вся защита работает да и х с ней при проверке компа на вирусы выдает пару бэкдоров и троянов, при удалении\лечении зараженных ф-лов комп ребутится и все по новой

Ладно попробую все это замутить в БР, если не получится, приду и буду долго и очень нудно плакать

[ТроПа]

Скачайте IceSword.

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл 'C:\WINDOWS\system32\karina.dat'.

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

 

В любом случае повторите логи.

[a2618]

Скачайте IceSword.

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл 'C:\WINDOWS\system32\karina.dat'.

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

 

В любом случае повторите логи.

Все сдел как сказали.

Логи в именах которых стоит_0 это логи сразу после использования IceSword.

Логи с простыми именами это логи после ребута (для сравнения, вдруг пригодятся).

 

Файл 'karina.dat', находится в папках 'C:\WINDOWS' и 'C:\WINDOWS\system32'.

Еще в этих же папках есть фаил 'buritos.exe' плюс при старте винды он стартует как процесс,

удалял эти файлы разнообразными способами после ребута они снова есть =(

 

я готов удалить все подозрительные файлы, главное что бы окошки работали.

virusinfo_syscheck_0.zip

virusinfo_syscure_0.zip

hijackthis_0.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

[ТроПа]

karina.dat и buritos.exe удалите при помощи IceSword везде где найдёте.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('C:\WINDOWS\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\TNL9AS71\Install[1].exe');
DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\TNL9AS71\Install[2].exe');
DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\79UI2QYP\Install[2].exe');
DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\79UI2QYP\Install[3].exe');
DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\79UI2QYP\Install[4].exe');
DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\79UI2QYP\Install[5].exe');
DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\321U6W6U\Install[1].exe');
DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\321U6W6U\Install[2].exe');
DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\Z20UE7V2\Install[1].exe');
DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\Z20UE7V2\Install[2].exe');
DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\Z20UE7V2\Install[3].exe');
DeleteFile('C:\WINDOWS\system32\karina.dat');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи.

[a2618]

karina.dat и buritos.exe удалите при помощи IceSword везде где найдёте.

Удалил, после перезагрузки появились снова, заюзал поиск, нашол фаил buritos-hflksj-6257.pf в папке 'C:\WINDOWS\Prefetch' очистил всю папку с помощью IceSword, снова удалил файлы karina.dat и buritos.exe, выполнил скрипт, перезагрузился и поиск не нашол файлов karina.dat и buritos.exe, ура.

ща гуглю насчет папки 'C:\WINDOWS\wt' очень она меня смущает может ее тоже удалить с помощью скрипта или IceSword.

wise-wistful огромное вам спасибо, за то что тратите на меня свое время и помогаете.

Логи прикладываю.

 

З.Ы. Раскажите плз через личку как повышать репутацию, а то я сам что-то не разобрался.

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[MiStr]

З.Ы. Раскажите плз через личку как повышать репутацию, а то я сам что-то не разобрался.

Изменение репутации другим участникам форума возможно после превышения отметки в 20 сообщений.

[ТроПа]

Пофиксите в HJT (запустите программу, нажмите Do a system scan only-- поставьте галочки слева от указанных строк--нажмите Fix cheked--перезагрузите компьютер)

O20 - AppInit_DLLs: karina.dat

Может быть сообщение от HJT о том что он не может создать бекап - не обращайте внимания - это нормально в данном случае.

 

VirtualNetwork - попробуйте деинсталировать - это адварка.

 

По поводу C:\WINDOWS\wt - могу дать Вам ссылку на разработчика АВЗ который пишет о ней. ну а там решайте сами.

[a2618]

Пофиксите в HJT (запустите программу, нажмите Do a system scan only-- поставьте галочки слева от указанных строк--нажмите Fix cheked--перезагрузите компьютер)

 

Может быть сообщение от HJT о том что он не может создать бекап - не обращайте внимания - это нормально в данном случае.

 

VirtualNetwork - попробуйте деинсталировать - это адварка.

 

По поводу C:\WINDOWS\wt - могу дать Вам ссылку на разработчика АВЗ который пишет о ней. ну а там решайте сами.

 

Сделал все как вы сказали, тьфу-тьфу-тьфу вроде все нормально но на всякии пожарный приложу новые логи.

HJT- совсем не ругался и создал бэкап.

 

По поводу VirtualNetwork в папке есть анинстал при запуске анинстал выдает такую инфу

Программа установки обнаружила на компьютере следующие програмы:

Adobe Flash Player ActiveX
Adobe Shockwave Player
Advanced Archive Password Recovery (remove only)
ATI Display Driver
BadCopy Pro
Beavis and Butt-head Do U. (*давно нету)
DivX Pro Codec
Dr. DivX
EasyRescanKey v.1.3
engraved guns screen saver
EPSON Printer Software
FINAL FANTASY VIII (*давно стер)
FlashGet(JetCar)
FLV Player
Fraps (remove only)
FreeCap version 3.18 (*давно стер)
FTP Commander
Hamachi 1.0.2.2 (*не пользуюсь)
HexEdit
HijackThis 2.0.2
HtmlReader v1.7
Windows Internet Explorer 7
IGI
Norton PartitionMagic 8.0
CamStudio
IP-Tools
Kaspersky Online Scanner
Обновление безопасности для Windows Internet Explorer 7 (KB953838)
K-Lite Mega Codec Pack 1.52
Microsoft .NET Framework 3.0
Mail.Ru Агент 4.9 (сборка 1863, для всех пользователей)
NewLive All Media To Mp3 Converter 3.6
Office Keyboard
Proxy Checker 7.4 (build 18)
Quake 3 Arena & Team Arena (*давно стер)
Quake III Arena Point Release 1.31 (*давно стер)
Ray Adams ATI Tray Tools 
Real 3D Matrix 3D Screensaver Free
Registrar Lite 2.00 (*хз что)
SAMSUNG Mobile Modem Driver Set
Samsung Mobile phone USB driver S

Если удалить VirtualNetwork, то эти программы могут работать не правильно.

и по этому поводу появился закономерный вопрос: это просто для отмазы от анинстала или и вправду может нарушить работу этих прог.

 

З.Ы. Заметил в логах что авз распознает прогу написаную лично мной как коня

E:\Projects\Новая папка\TT.exe >>> подозрение на Trojan.Win32.StartPage.auv ( 07EC679E 050465B0 00209817 0023E175 379392)

Прогу писал на делфях, для друга если при входе в систему через определенное время не ввести пароль комп ребутится =) такая мини защита от детей.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

Изменено 27 августа, 2008 пользователем a2618

[Kapral]

Мда, с такими замашками этой проги - к ней отнеслись еще по божески

КАВ/КИС устанавлены?

Если да - то какой вердикт они дают на самописку?

[a2618]

Мда, с такими замашками этой проги - к ней отнеслись еще по божески

КАВ/КИС устанавлены?

Если да - то какой вердикт они дают на самописку?

КАВ/КИС еще не ставил приду домой поставлю, а до этого КАВ не мог включить защиту от спама ругался на какойто сбой.

 

Если да - то какой вердикт они дают на самописку?(немного не понял вопроса)

[Kapral]

а до этого КАВ не мог включить защиту от спама ругался на какойто сбой.

Бывает, теперь после лечения не должно быть

 

Если да - то какой вердикт они дают на самописку?(немного не понял вопроса)

Ну АВЗ ругнулся, судя по действиям КИС/КАВ скорее всего тоже не понравится - а вот как обругает - вот это и есть вердикт

 

Если начнет ругаться - вышлите на newvirus/@/kaspersky.com в архиве под паролем

Пароль укажите в теле письма

А в теме укажите - что фолс

ЗЫ. Желательно это делать после проверки с самыми актуальными базами

[a2618]

Уважаемый Kapral это вы про мою прогу?

если да то я вам еще и исходники с архивом вышлю =)

[ТроПа]

Уважаемый Kapral это вы про мою прогу?

если да то я вам еще и исходники с архивом вышлю =)

Да это он о ней. Просто если Касперский еёс начнёт детектить и у друга то же касперский - то ой-ой-ой, а так отправите аналитикам и её снимут с детекта. Я догадался, что это одна из Ваших программ, увидев установленный Делфи.

 

и по этому поводу появился закономерный вопрос: это просто для отмазы от анинстала или и вправду может нарушить работу этих прог.

Скорее всего просто отмазка адвары. Ну если сомневаетесь то подождите. Когда поставите Касперского будет понятнее. Если это о чём я думаю, он то же задетектит её.

 

В логах больше ничего подозрительного не видать.

[Kapral]

Ээээ, а мне зачем.?

Вдруг я пароль не правильно введу

[a2618]

Огромное спасибо всем за помощь КАВ работает нормально, проверка моей проги с последними базами ничего в ней не детектит =)

Уважаемые модераторы повысте реаутацию wise-wistful он спапс меня от вируса!

Просто не охото флудить на форуме.

З.Ы. Теперь я буду тут частым гостем