Перейти к содержанию
Правила раздела

Не запускается Kaspersky Anti-Virus 8.0.0.454

TRN7

От TRN7
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

TRN7 Новичок

TRN7

Опубликовано
Опубликовано (изменено)

После сбоя в работе, перезагрузил комп кнопочкй Reset(т.к. на экране был только фоновый рисунок раб.стола, а все остальное пропало, и ни одна команда не выполнялась при помощи горячих клавиш, но крусор реагировал.. что странно) все настройки видеокарты сбились - на самое минимальное разррешение и 4х битную графику(но это я устранил). А каспер перстал загружаться, никаких ошибок не вываливается, просто ничего не просиходит. Пробовал переустановить - все по прежнему, за исключением таво что до переустановки процесс AVP.exe выполнялся, а в диспетчере процессов было даже несколько... после переустановки этот процесс вообще нигде не фиксируется..

Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти..

Вообщем чтото по всей видимости блокирует запуск Каспера...

 

Ниже как и условлено логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

 

Сообщение от модератора MedvedevUnited
Тема перемещена из раздела "Помощь по продуктам".
Изменено пользователем MedvedevUnited
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
После сбоя в работе...

Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти..

Вообщем чтото по всей видимости блокирует запуск Каспера...

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('gjnysf.dll','');
QuarantineFile('C:\WINDOWS\system32\lagifije.dll','');
QuarantineFile('c:\windows\system32\labujiku.dll','');
QuarantineFile('c:\windows\system32\loyayono.dll','');
QuarantineFile('C:\WINDOWS\system32\ljJYPgEu.dll','');
QuarantineFile('C:\WINDOWS\system32\gjnysf.dll','');
QuarantineFile('C:\WINDOWS\system32\wowuputi.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
DeleteFile('C:\WINDOWS\system32\wowuputi.dll');
DeleteFile('C:\WINDOWS\system32\gjnysf.dll');
DeleteFile('C:\WINDOWS\system32\ljJYPgEu.dll');
DeleteFile('c:\windows\system32\loyayono.dll');
DeleteFile('c:\windows\system32\labujiku.dll');
DeleteFile('C:\WINDOWS\system32\lagifije.dll');
DeleteFile('gjnysf.dll');
DelBHO('{dddb6c7c-976e-4a47-ab95-35255b5b4370}');
DelBHO('{c42c59ac-0c3d-4a5e-aaad-6a054869843b}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный отвеит сообщите здесь.

 

3. Пофиксите в HiJack

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ljJYPgEu.dll (file missing)
O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE')
O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\

Если эти настройки DNS не ваши, тогда еще и эти

O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40

Логи повторите

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
TRN7 Новичок

TRN7

Опубликовано
  • Автор
Опубликовано (изменено)

thyrex

А смысл отправлять quarantine.rar? Он пустой..

И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =)

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
thyrex

А смысл отправлять quarantine.rar? Он пустой..

И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =)

Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore

 

UkrTeleGroup ваш провайдер? Если нет, узнайте правильные настройки у вашего провайдера.

 

Повторите логи.

Сделайте дополнительно лог gmer. Запустите - после быстрой проверки отметьте птичками все пункты справа - нажмите Scan. После завершения процесса сохраните результат в файл и выложите здесь

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
TRN7 Новичок

TRN7

Опубликовано
  • Автор
Опубликовано

thyrex

извини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore"

На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи.

PS: Спасибо за то что стараетесь помочь

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
thyrex

извини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore"

На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи.

PS: Спасибо за то что стараетесь помочь

А с этим C:\WINDOWS\system32\sokimafi.dll я, кажется, все-таки не ошибся. Червячок. А вы фиксили строчку в HiJack или просто его удалили?

И вы не ответили на счет провайдера: UkrTeleGroup ваш провайдер?

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
TRN7 Новичок

TRN7

Опубликовано
  • Автор
Опубликовано (изменено)

thyrex

Чесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz

И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала...

 

Мой провайдер - ВолгаТелеком

 

Gmer при начале сканирования пишет сразу про деятельность РутКит'а

8d4f416879d4ca4572.jpg

 

Вот логи:

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

gmer.log

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
thyrex

Чесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz

И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала...

Мой провайдер - ВолгаТелеком

Ах вот оно что. Ну по крайней мере вздохнуть можно, что не я эту dll-ку унес.

Продолжаем лечение

 

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ 

SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys','');
QuarantineFile('C:\WINDOWS\system32\gaopdxcounter','');
QuarantineFile('gaopdxserv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys','');
QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys','');
QuarantineFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys','');
QuarantineFile('C:\WINDOWS\system32\wowuputi.bak','');
QuarantineFile('C:\WINDOWS\system32\sokimafi.bak','');
QuarantineFile('C:\WINDOWS\system32\lagifije.bak','');
QuarantineFile('C:\WINDOWS\system32\fedozuta.bak','');
DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys');
DeleteFile('C:\WINDOWS\system32\gaopdxcounter');
DeleteFile('gaopdxserv.sys');
DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys');
DeleteService('gaopdxserv');
DeleteService('gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\fedozuta.bak');
DeleteFile('C:\WINDOWS\system32\lagifije.bak');
DeleteFile('C:\WINDOWS\system32\sokimafi.bak');
DeleteFile('C:\WINDOWS\system32\wowuputi.bak');
DeleteFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

3. Пофиксите в HiJack

O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\

 

Повторите логи AVZ, HiJack, gmer

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
TRN7 Новичок

TRN7

Опубликовано
  • Автор
Опубликовано (изменено)

Письмо отправил, ждем ответа.

Каспер стал запускаться, ура! :)

Gmer все также пишет о деятельности РутКит'а

 

Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

gmer.log

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
Письмо отправил, ждем ответа.

Каспер стал запускаться, ура! :)

Gmer все также пишет о деятельности РутКит'а

 

Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus

Повторно отсылали?

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ 

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll','');
QuarantineFile('gaopdxserv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys','');
QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys','');
QuarantineFile('c:\windows\system32\dokigera.dll','');
DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll');
DeleteFile('gaopdxserv.sys');
DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys');
DeleteFile('c:\windows\system32\dokigera.dll');
DeleteService('gaopdxserv');
DeleteService('gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('gaopdxserv.sys');
BC_Activate;
RebootWindows(true);
end.

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив infected. Полученный ответ сообщите здесь.

 

Повторите все логи

Изменено пользователем thyrex
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
thyrex

Да, сразуже отослал повторно. Нужноли выполнять скрипт в AVZ?

Да, это новый скрипт. Частично зараза уничтожилась.

Не забудьте после повторить все логи

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
TRN7 Новичок

TRN7

Опубликовано
  • Автор
Опубликовано (изменено)

Во время скана gmer'ом вылетает хард-корная ошибка(или синий экран смерти....) Два раза запускал тестирование и два раза так случалось.

http://keep4u.ru/full/2009/03/11/bbf3e4b530be2e31e6/jpg

http://keep4u.ru/full/2009/03/11/b9b2db035d2f5dac0e/jpg

 

 

akoK

Нужноли кроме диска на которм установлена винда проверять все остальные? их несколько и это вся полная проверка займет день(я не приувеличиваю)

 

Выкладываю на всякий логи AVZ и HijackThis, gmer'ский лог еще не получился...(причина выше)

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

 

Вот лог проверки Malwarebytes' Anti-Malware диска С(на нем Винда уст-на)

до удаления mbam_log_2009_03_11__19_09_42_.txt

после удаления mbam_log_2009_03_11__19_13_29_.txt

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Ilya12
      Не запускается Kaspersky Free , не запускается AvastClear
      От Ilya12
      Похоже на компьютере вирус или последствия работы вируса.Windows 7 SP1 6.1.7601.24449  Как вылечить?

    • andrew75
      Kaspersky для Linux
      От andrew75
      На сайте выложили дистрибутивы.
      Даже раньше обещанного
    • Роман04
      Kaspersky Free исключения
      От Роман04
      Всем здравствуйте.
      Как в Kaspersky Free добавить в исключения путь wfp:\ ? Или как-то запретить следующие сообщения?
       

       
    • Андрей2029
      Kaspersky Plus и продукты Adobe
      От Андрей2029
      Добрый день. С нредавних пор, порядка месяца постоянно вижу вот такие сообщения:

      Каждый раз новый адрес и порт, но все это касается только Adobe. Разумеется. в системе стоит лицензионный пакет Adobe Creative Cloud с набором софта, и разумеется, в исключения я все добавлял и ни раз. Каждый день, несколько раз за день вижу эти окошки. Можно как-то такое поведение Касперского Плюс изменить, ибо дастало?
    • catherinebennett
      Kaspersky Blocks Trusted Applications
      От catherinebennett
      Hello
      I have recently noticed that Kaspersky Internet Security is blocking some of my trusted applications from running; even though they are from legitimate sources. Some programs get flagged as "untrusted" or are prevented from accessing certain system resources. 🙂 While I understand this is for security reasons, it’s becoming frustrating when safe applications are mistakenly blocked. What’s the best way to properly whitelist these programs without compromising overall security?🤔
       
      I have tried adding them to the exclusions list, but in some cases; they still face restrictions. Are there additional settings, such as adjusting heuristic analysis / modifying firewall rules, that could help? I want to ensure my system remains protected while allowing these specific programs to run smoothly.🙃 Checked https://support.kaspersky.com/kart/3.0/en-US/130083.htm/DevOps training resources, and found it quite informative.
       
       
      If anyone has experience dealing with similar issues, I’d appreciate guidance on properly configuring Kaspersky to reduce false positives. Also, is there a way to report misclassified applications to Kaspersky for future updates? 🤔Any insights would be helpful!
       
       
      Thank you!!🙂
×
×
  • Создать...