Перейти к содержанию

Не запускается Kaspersky Anti-Virus 8.0.0.454


Рекомендуемые сообщения

После сбоя в работе, перезагрузил комп кнопочкй Reset(т.к. на экране был только фоновый рисунок раб.стола, а все остальное пропало, и ни одна команда не выполнялась при помощи горячих клавиш, но крусор реагировал.. что странно) все настройки видеокарты сбились - на самое минимальное разррешение и 4х битную графику(но это я устранил). А каспер перстал загружаться, никаких ошибок не вываливается, просто ничего не просиходит. Пробовал переустановить - все по прежнему, за исключением таво что до переустановки процесс AVP.exe выполнялся, а в диспетчере процессов было даже несколько... после переустановки этот процесс вообще нигде не фиксируется..

Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти..

Вообщем чтото по всей видимости блокирует запуск Каспера...

 

Ниже как и условлено логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

 

Сообщение от модератора MedvedevUnited
Тема перемещена из раздела "Помощь по продуктам".
Изменено пользователем MedvedevUnited
Ссылка на комментарий
Поделиться на другие сайты

После сбоя в работе...

Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти..

Вообщем чтото по всей видимости блокирует запуск Каспера...

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('gjnysf.dll','');
QuarantineFile('C:\WINDOWS\system32\lagifije.dll','');
QuarantineFile('c:\windows\system32\labujiku.dll','');
QuarantineFile('c:\windows\system32\loyayono.dll','');
QuarantineFile('C:\WINDOWS\system32\ljJYPgEu.dll','');
QuarantineFile('C:\WINDOWS\system32\gjnysf.dll','');
QuarantineFile('C:\WINDOWS\system32\wowuputi.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
DeleteFile('C:\WINDOWS\system32\wowuputi.dll');
DeleteFile('C:\WINDOWS\system32\gjnysf.dll');
DeleteFile('C:\WINDOWS\system32\ljJYPgEu.dll');
DeleteFile('c:\windows\system32\loyayono.dll');
DeleteFile('c:\windows\system32\labujiku.dll');
DeleteFile('C:\WINDOWS\system32\lagifije.dll');
DeleteFile('gjnysf.dll');
DelBHO('{dddb6c7c-976e-4a47-ab95-35255b5b4370}');
DelBHO('{c42c59ac-0c3d-4a5e-aaad-6a054869843b}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный отвеит сообщите здесь.

 

3. Пофиксите в HiJack

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ljJYPgEu.dll (file missing)
O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE')
O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\

Если эти настройки DNS не ваши, тогда еще и эти

O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40

Логи повторите

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты

thyrex

А смысл отправлять quarantine.rar? Он пустой..

И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =)

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты

thyrex

А смысл отправлять quarantine.rar? Он пустой..

И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =)

Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore

 

UkrTeleGroup ваш провайдер? Если нет, узнайте правильные настройки у вашего провайдера.

 

Повторите логи.

Сделайте дополнительно лог gmer. Запустите - после быстрой проверки отметьте птичками все пункты справа - нажмите Scan. После завершения процесса сохраните результат в файл и выложите здесь

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты

thyrex

извини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore"

На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи.

PS: Спасибо за то что стараетесь помочь

Ссылка на комментарий
Поделиться на другие сайты

thyrex

извини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore"

На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи.

PS: Спасибо за то что стараетесь помочь

А с этим C:\WINDOWS\system32\sokimafi.dll я, кажется, все-таки не ошибся. Червячок. А вы фиксили строчку в HiJack или просто его удалили?

И вы не ответили на счет провайдера: UkrTeleGroup ваш провайдер?

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты

thyrex

Чесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz

И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала...

 

Мой провайдер - ВолгаТелеком

 

Gmer при начале сканирования пишет сразу про деятельность РутКит'а

8d4f416879d4ca4572.jpg

 

Вот логи:

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

gmer.log

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты

thyrex

Чесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz

И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала...

Мой провайдер - ВолгаТелеком

Ах вот оно что. Ну по крайней мере вздохнуть можно, что не я эту dll-ку унес.

Продолжаем лечение

 

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ

SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys','');
QuarantineFile('C:\WINDOWS\system32\gaopdxcounter','');
QuarantineFile('gaopdxserv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys','');
QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys','');
QuarantineFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys','');
QuarantineFile('C:\WINDOWS\system32\wowuputi.bak','');
QuarantineFile('C:\WINDOWS\system32\sokimafi.bak','');
QuarantineFile('C:\WINDOWS\system32\lagifije.bak','');
QuarantineFile('C:\WINDOWS\system32\fedozuta.bak','');
DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys');
DeleteFile('C:\WINDOWS\system32\gaopdxcounter');
DeleteFile('gaopdxserv.sys');
DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys');
DeleteService('gaopdxserv');
DeleteService('gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\fedozuta.bak');
DeleteFile('C:\WINDOWS\system32\lagifije.bak');
DeleteFile('C:\WINDOWS\system32\sokimafi.bak');
DeleteFile('C:\WINDOWS\system32\wowuputi.bak');
DeleteFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

3. Пофиксите в HiJack

O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\

 

Повторите логи AVZ, HiJack, gmer

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты

Письмо отправил, ждем ответа.

Каспер стал запускаться, ура! :)

Gmer все также пишет о деятельности РутКит'а

 

Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

gmer.log

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты

Письмо отправил, ждем ответа.

Каспер стал запускаться, ура! :)

Gmer все также пишет о деятельности РутКит'а

 

Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus

Повторно отсылали?

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll','');
QuarantineFile('gaopdxserv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys','');
QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys','');
QuarantineFile('c:\windows\system32\dokigera.dll','');
DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll');
DeleteFile('gaopdxserv.sys');
DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys');
DeleteFile('c:\windows\system32\dokigera.dll');
DeleteService('gaopdxserv');
DeleteService('gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('gaopdxserv.sys');
BC_Activate;
RebootWindows(true);
end.

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив infected. Полученный ответ сообщите здесь.

 

Повторите все логи

Изменено пользователем thyrex
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

thyrex

Да, сразуже отослал повторно. Нужноли выполнять скрипт в AVZ?

Да, это новый скрипт. Частично зараза уничтожилась.

Не забудьте после повторить все логи

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты

Во время скана gmer'ом вылетает хард-корная ошибка(или синий экран смерти....) Два раза запускал тестирование и два раза так случалось.

http://keep4u.ru/full/2009/03/11/bbf3e4b530be2e31e6/jpg

http://keep4u.ru/full/2009/03/11/b9b2db035d2f5dac0e/jpg

 

 

akoK

Нужноли кроме диска на которм установлена винда проверять все остальные? их несколько и это вся полная проверка займет день(я не приувеличиваю)

 

Выкладываю на всякий логи AVZ и HijackThis, gmer'ский лог еще не получился...(причина выше)

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

 

Вот лог проверки Malwarebytes' Anti-Malware диска С(на нем Винда уст-на)

до удаления mbam_log_2009_03_11__19_09_42_.txt

после удаления mbam_log_2009_03_11__19_13_29_.txt

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ilya12
      Автор Ilya12
      Похоже на компьютере вирус или последствия работы вируса.Windows 7 SP1 6.1.7601.24449  Как вылечить?

    • andrew75
      Автор andrew75
      На сайте выложили дистрибутивы.
      Даже раньше обещанного
    • crabcorner
      Автор crabcorner
      Столкнулся с проблемой, подхватил самовостонавливающийся майнер делающий это через планировщик задач. Майнер успешно удалил через стороннюю утилиту заменяющею его, но оригинальная программа до сих пор не работает. Так же как выяснилось майнер заблокировал весь раздел "управление компьютером". И из-за этого доставляет мне большие проблемы. Помогите в восстановлении Планировщика и остального раздела.
    • Dmirty
      Автор Dmirty
      Доброе утро! Столкнулся с проблемой, установил Kaspersky Endpoint Security и Agent на Debian 12.11. Kaspersky Security Center увидел касперский без проблем, но само приложение пишет что "Защита остановлена". Несколько раз переустанавливал ничего не помогает. Подскажите пожалуйста какие-нибудь идеи?
    • Полислава
      Автор Полислава
      Здравствуйте! 30 марта 2025 на ноутбук была совершена вирусная атака.
      Я успела в диспетчере отследить три процесса, которые затем исчезли. У меня был Kaspersky Total Security и он поймал вирус и решил с ним справиться. Но, к сожалению, вирус его благополучно поломал..
      Сильно грузит систему, я выследила, откуда майнер - он спрятался в png файлах папки WindowsApps/KasperskyShellEx20
      Папка не удаляется никак, пыталась и изменять владельца и при помощи Revo Uninstaller - не получается.
      Сделала в FarBar Recover SearchAll: Kaspersky и вот что обнаружено. Учитывая, что официальная утилита на удаление антивируса - ничего из этого не видит.

       
      Search.txt
      Так же прикрепляю результаты сканирования FarBar
      FRST.txt
×
×
  • Создать...