Не запускается Kaspersky Anti-Virus 8.0.0.454

[TRN7]

После сбоя в работе, перезагрузил комп кнопочкй Reset(т.к. на экране был только фоновый рисунок раб.стола, а все остальное пропало, и ни одна команда не выполнялась при помощи горячих клавиш, но крусор реагировал.. что странно) все настройки видеокарты сбились - на самое минимальное разррешение и 4х битную графику(но это я устранил). А каспер перстал загружаться, никаких ошибок не вываливается, просто ничего не просиходит. Пробовал переустановить - все по прежнему, за исключением таво что до переустановки процесс AVP.exe выполнялся, а в диспетчере процессов было даже несколько... после переустановки этот процесс вообще нигде не фиксируется..

Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти..

Вообщем чтото по всей видимости блокирует запуск Каспера...

 

Ниже как и условлено логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

 

Сообщение от модератора MedvedevUnited

Тема перемещена из раздела "Помощь по продуктам".

Изменено 8 марта, 2009 пользователем MedvedevUnited

[thyrex]

После сбоя в работе...

Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти..

Вообщем чтото по всей видимости блокирует запуск Каспера...

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('gjnysf.dll','');
QuarantineFile('C:\WINDOWS\system32\lagifije.dll','');
QuarantineFile('c:\windows\system32\labujiku.dll','');
QuarantineFile('c:\windows\system32\loyayono.dll','');
QuarantineFile('C:\WINDOWS\system32\ljJYPgEu.dll','');
QuarantineFile('C:\WINDOWS\system32\gjnysf.dll','');
QuarantineFile('C:\WINDOWS\system32\wowuputi.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
DeleteFile('C:\WINDOWS\system32\wowuputi.dll');
DeleteFile('C:\WINDOWS\system32\gjnysf.dll');
DeleteFile('C:\WINDOWS\system32\ljJYPgEu.dll');
DeleteFile('c:\windows\system32\loyayono.dll');
DeleteFile('c:\windows\system32\labujiku.dll');
DeleteFile('C:\WINDOWS\system32\lagifije.dll');
DeleteFile('gjnysf.dll');
DelBHO('{dddb6c7c-976e-4a47-ab95-35255b5b4370}');
DelBHO('{c42c59ac-0c3d-4a5e-aaad-6a054869843b}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный отвеит сообщите здесь.

 

3. Пофиксите в HiJack

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ljJYPgEu.dll (file missing)
O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE')
O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\

Если эти настройки DNS не ваши, тогда еще и эти

O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40

Логи повторите

Изменено 9 марта, 2009 пользователем thyrex

[TRN7]

thyrex

А смысл отправлять quarantine.rar? Он пустой..

И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =)

Изменено 9 марта, 2009 пользователем TRN7

[thyrex]

thyrex

А смысл отправлять quarantine.rar? Он пустой..

И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =)

Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore

 

UkrTeleGroup ваш провайдер? Если нет, узнайте правильные настройки у вашего провайдера.

 

Повторите логи.

Сделайте дополнительно лог gmer. Запустите - после быстрой проверки отметьте птичками все пункты справа - нажмите Scan. После завершения процесса сохраните результат в файл и выложите здесь

Изменено 9 марта, 2009 пользователем thyrex

[TRN7]

thyrex

извини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore"

На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи.

PS: Спасибо за то что стараетесь помочь

[thyrex]

thyrex

извини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore"

На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи.

PS: Спасибо за то что стараетесь помочь

А с этим C:\WINDOWS\system32\sokimafi.dll я, кажется, все-таки не ошибся. Червячок. А вы фиксили строчку в HiJack или просто его удалили?

И вы не ответили на счет провайдера: UkrTeleGroup ваш провайдер?

Изменено 10 марта, 2009 пользователем thyrex

[TRN7]

thyrex

Чесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz

И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала...

 

Мой провайдер - ВолгаТелеком

 

Gmer при начале сканирования пишет сразу про деятельность РутКит'а

 

Вот логи:

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

gmer.log

Изменено 10 марта, 2009 пользователем TRN7

[thyrex]

thyrex

Чесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz

И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала...

Мой провайдер - ВолгаТелеком

Ах вот оно что. Ну по крайней мере вздохнуть можно, что не я эту dll-ку унес.

Продолжаем лечение

 

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ

SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys','');
QuarantineFile('C:\WINDOWS\system32\gaopdxcounter','');
QuarantineFile('gaopdxserv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys','');
QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys','');
QuarantineFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys','');
QuarantineFile('C:\WINDOWS\system32\wowuputi.bak','');
QuarantineFile('C:\WINDOWS\system32\sokimafi.bak','');
QuarantineFile('C:\WINDOWS\system32\lagifije.bak','');
QuarantineFile('C:\WINDOWS\system32\fedozuta.bak','');
DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys');
DeleteFile('C:\WINDOWS\system32\gaopdxcounter');
DeleteFile('gaopdxserv.sys');
DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys');
DeleteService('gaopdxserv');
DeleteService('gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\fedozuta.bak');
DeleteFile('C:\WINDOWS\system32\lagifije.bak');
DeleteFile('C:\WINDOWS\system32\sokimafi.bak');
DeleteFile('C:\WINDOWS\system32\wowuputi.bak');
DeleteFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

3. Пофиксите в HiJack

O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\

 

Повторите логи AVZ, HiJack, gmer

Изменено 10 марта, 2009 пользователем thyrex

[TRN7]

Письмо отправил, ждем ответа.

Каспер стал запускаться, ура!

Gmer все также пишет о деятельности РутКит'а

 

Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

gmer.log

Изменено 11 марта, 2009 пользователем TRN7

[thyrex]

Письмо отправил, ждем ответа.

Каспер стал запускаться, ура!

Gmer все также пишет о деятельности РутКит'а

 

Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus

Повторно отсылали?

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll','');
QuarantineFile('gaopdxserv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys','');
QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys','');
QuarantineFile('c:\windows\system32\dokigera.dll','');
DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll');
DeleteFile('gaopdxserv.sys');
DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys');
DeleteFile('c:\windows\system32\dokigera.dll');
DeleteService('gaopdxserv');
DeleteService('gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('gaopdxserv.sys');
BC_Activate;
RebootWindows(true);
end.

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив infected. Полученный ответ сообщите здесь.

 

Повторите все логи

Изменено 11 марта, 2009 пользователем thyrex

[TRN7]

thyrex

Да, сразуже отослал повторно. Нужноли выполнять скрипт в AVZ?

[thyrex]

thyrex

Да, сразуже отослал повторно. Нужноли выполнять скрипт в AVZ?

Да, это новый скрипт. Частично зараза уничтожилась.

Не забудьте после повторить все логи

[Kapral]

Часть постов выделено в Хелперы

Изменено 11 марта, 2009 пользователем Kapral

[akoK]

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Повторите логи.

[TRN7]

Во время скана gmer'ом вылетает хард-корная ошибка(или синий экран смерти....) Два раза запускал тестирование и два раза так случалось.

http://keep4u.ru/full/2009/03/11/bbf3e4b530be2e31e6/jpg

http://keep4u.ru/full/2009/03/11/b9b2db035d2f5dac0e/jpg

 

 

akoK

Нужноли кроме диска на которм установлена винда проверять все остальные? их несколько и это вся полная проверка займет день(я не приувеличиваю)

 

Выкладываю на всякий логи AVZ и HijackThis, gmer'ский лог еще не получился...(причина выше)

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

 

Вот лог проверки Malwarebytes' Anti-Malware диска С(на нем Винда уст-на)

до удаления mbam_log_2009_03_11__19_09_42_.txt

после удаления mbam_log_2009_03_11__19_13_29_.txt

Изменено 11 марта, 2009 пользователем TRN7