Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Не запускается Kaspersky Anti-Virus 8.0.0.454

TRN7

От TRN7
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

TRN7 Новичок

TRN7

Опубликовано
Опубликовано (изменено)

После сбоя в работе, перезагрузил комп кнопочкй Reset(т.к. на экране был только фоновый рисунок раб.стола, а все остальное пропало, и ни одна команда не выполнялась при помощи горячих клавиш, но крусор реагировал.. что странно) все настройки видеокарты сбились - на самое минимальное разррешение и 4х битную графику(но это я устранил). А каспер перстал загружаться, никаких ошибок не вываливается, просто ничего не просиходит. Пробовал переустановить - все по прежнему, за исключением таво что до переустановки процесс AVP.exe выполнялся, а в диспетчере процессов было даже несколько... после переустановки этот процесс вообще нигде не фиксируется..

Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти..

Вообщем чтото по всей видимости блокирует запуск Каспера...

 

Ниже как и условлено логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

 

Сообщение от модератора MedvedevUnited
Тема перемещена из раздела "Помощь по продуктам".
Изменено пользователем MedvedevUnited
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
После сбоя в работе...

Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти..

Вообщем чтото по всей видимости блокирует запуск Каспера...

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('gjnysf.dll','');
QuarantineFile('C:\WINDOWS\system32\lagifije.dll','');
QuarantineFile('c:\windows\system32\labujiku.dll','');
QuarantineFile('c:\windows\system32\loyayono.dll','');
QuarantineFile('C:\WINDOWS\system32\ljJYPgEu.dll','');
QuarantineFile('C:\WINDOWS\system32\gjnysf.dll','');
QuarantineFile('C:\WINDOWS\system32\wowuputi.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
DeleteFile('C:\WINDOWS\system32\wowuputi.dll');
DeleteFile('C:\WINDOWS\system32\gjnysf.dll');
DeleteFile('C:\WINDOWS\system32\ljJYPgEu.dll');
DeleteFile('c:\windows\system32\loyayono.dll');
DeleteFile('c:\windows\system32\labujiku.dll');
DeleteFile('C:\WINDOWS\system32\lagifije.dll');
DeleteFile('gjnysf.dll');
DelBHO('{dddb6c7c-976e-4a47-ab95-35255b5b4370}');
DelBHO('{c42c59ac-0c3d-4a5e-aaad-6a054869843b}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный отвеит сообщите здесь.

 

3. Пофиксите в HiJack

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ljJYPgEu.dll (file missing)
O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE')
O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\

Если эти настройки DNS не ваши, тогда еще и эти

O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40

Логи повторите

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
TRN7 Новичок

TRN7

Опубликовано
  • Автор
Опубликовано (изменено)

thyrex

А смысл отправлять quarantine.rar? Он пустой..

И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =)

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
thyrex

А смысл отправлять quarantine.rar? Он пустой..

И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =)

Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore

 

UkrTeleGroup ваш провайдер? Если нет, узнайте правильные настройки у вашего провайдера.

 

Повторите логи.

Сделайте дополнительно лог gmer. Запустите - после быстрой проверки отметьте птичками все пункты справа - нажмите Scan. После завершения процесса сохраните результат в файл и выложите здесь

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
TRN7 Новичок

TRN7

Опубликовано
  • Автор
Опубликовано

thyrex

извини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore"

На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи.

PS: Спасибо за то что стараетесь помочь

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
thyrex

извини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore"

На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи.

PS: Спасибо за то что стараетесь помочь

А с этим C:\WINDOWS\system32\sokimafi.dll я, кажется, все-таки не ошибся. Червячок. А вы фиксили строчку в HiJack или просто его удалили?

И вы не ответили на счет провайдера: UkrTeleGroup ваш провайдер?

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
TRN7 Новичок

TRN7

Опубликовано
  • Автор
Опубликовано (изменено)

thyrex

Чесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz

И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала...

 

Мой провайдер - ВолгаТелеком

 

Gmer при начале сканирования пишет сразу про деятельность РутКит'а

8d4f416879d4ca4572.jpg

 

Вот логи:

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

gmer.log

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
thyrex

Чесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz

И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала...

Мой провайдер - ВолгаТелеком

Ах вот оно что. Ну по крайней мере вздохнуть можно, что не я эту dll-ку унес.

Продолжаем лечение

 

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ 

SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys','');
QuarantineFile('C:\WINDOWS\system32\gaopdxcounter','');
QuarantineFile('gaopdxserv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys','');
QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys','');
QuarantineFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys','');
QuarantineFile('C:\WINDOWS\system32\wowuputi.bak','');
QuarantineFile('C:\WINDOWS\system32\sokimafi.bak','');
QuarantineFile('C:\WINDOWS\system32\lagifije.bak','');
QuarantineFile('C:\WINDOWS\system32\fedozuta.bak','');
DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys');
DeleteFile('C:\WINDOWS\system32\gaopdxcounter');
DeleteFile('gaopdxserv.sys');
DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys');
DeleteService('gaopdxserv');
DeleteService('gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\fedozuta.bak');
DeleteFile('C:\WINDOWS\system32\lagifije.bak');
DeleteFile('C:\WINDOWS\system32\sokimafi.bak');
DeleteFile('C:\WINDOWS\system32\wowuputi.bak');
DeleteFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

3. Пофиксите в HiJack

O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\

 

Повторите логи AVZ, HiJack, gmer

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
TRN7 Новичок

TRN7

Опубликовано
  • Автор
Опубликовано (изменено)

Письмо отправил, ждем ответа.

Каспер стал запускаться, ура! :)

Gmer все также пишет о деятельности РутКит'а

 

Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

gmer.log

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
Письмо отправил, ждем ответа.

Каспер стал запускаться, ура! :)

Gmer все также пишет о деятельности РутКит'а

 

Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus

Повторно отсылали?

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр

1. Выполните скрипт в AVZ 

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys','');
QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll','');
QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll','');
QuarantineFile('gaopdxserv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys','');
QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys','');
QuarantineFile('c:\windows\system32\dokigera.dll','');
DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys');
DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll');
DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll');
DeleteFile('gaopdxserv.sys');
DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys');
DeleteFile('c:\windows\system32\dokigera.dll');
DeleteService('gaopdxserv');
DeleteService('gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys');
RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('gaopdxserv.sys');
BC_Activate;
RebootWindows(true);
end.

 

2. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив infected. Полученный ответ сообщите здесь.

 

Повторите все логи

Изменено пользователем thyrex
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
thyrex

Да, сразуже отослал повторно. Нужноли выполнять скрипт в AVZ?

Да, это новый скрипт. Частично зараза уничтожилась.

Не забудьте после повторить все логи

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
TRN7 Новичок

TRN7

Опубликовано
  • Автор
Опубликовано (изменено)

Во время скана gmer'ом вылетает хард-корная ошибка(или синий экран смерти....) Два раза запускал тестирование и два раза так случалось.

http://keep4u.ru/full/2009/03/11/bbf3e4b530be2e31e6/jpg

http://keep4u.ru/full/2009/03/11/b9b2db035d2f5dac0e/jpg

 

 

akoK

Нужноли кроме диска на которм установлена винда проверять все остальные? их несколько и это вся полная проверка займет день(я не приувеличиваю)

 

Выкладываю на всякий логи AVZ и HijackThis, gmer'ский лог еще не получился...(причина выше)

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

 

Вот лог проверки Malwarebytes' Anti-Malware диска С(на нем Винда уст-на)

до удаления mbam_log_2009_03_11__19_09_42_.txt

после удаления mbam_log_2009_03_11__19_13_29_.txt

Изменено пользователем TRN7
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Depos1t
      [РЕШЕНО] Kaspersky обнаружил MEM:Trojan.Win32.SEPEH.gen
      От Depos1t
      Добрый день, пользователи сайта и простые обыватели сети интернет. Хотел решить проблему с подключением Discord и друг скинул прогу которая должна была решить вопрос, но при ее запуске на компе появился троян. Сам Касперский не справляется с его удалением, каждый раз предлагает лечить но при новом запуске опять та же проблема. Прошу, помогите доверчивому пользователю сети интернет избавиться от этой "бяки" без потери файлов и переустановки ОС, заранее благодарен за помощь. Ниже прикрепил скрин того, что касперский обнаружил вирус

    • ArtemKu
      Не устанавливается Kaspersky Premium
      От ArtemKu
      Здравствуйте, не устанавливается Kaspersky Premium. В прошлом разделе не выявили причину. Ссылка на форум прикрепил. 
       
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Anubis_Ozzik
      Не запускается установщик Kaspersky Plus
      От Anubis_Ozzik
      Здравствуйте!
      Стоял до недавнего времени KIS, пару дней назад пришло время обновлять подписку, узнал что теперь другие продукты, купил подписку на Kaspersky Plus на 3 устройства, KIS автоматом подхватил её и вроде всё норм, решил обновить саму программу, но скачав её, она не запускается, просто кружочек крутится пару секунд и всё. На другом ноуте с Win 10 обновилось всё хорошо.
       
      Сегодня решил попробовать установить Plus, предварительно удалив KIS, но не помогло, Plus так и не устанавливается. Причем заново KIS устанавливается, да только теперь он бесполезен, так как пишет, подписка заблокирована. kavremover не находил установленных других продуктов.
       
      Отчет Kaspersky Get System Info: https://disk.yandex.ru/d/N3s8t7dVlQ5xpA
    • Lotte
      Инвентаризация оборудования в Kaspersky Security Center
      От Lotte
      Добрый день!
       
      Хотел уточнить, как сделать инвентаризацию оборудования через KES, у нас KES Версии: 14.2.0.26967
       
      почитал здесь, что https://support.kaspersky.com/KSC/14/ru-RU/63679.htm в списке оборудования (Хранилища → Оборудование) нужно выбрать.
       
      У нас нет, пока такой вкладки оборудование, как её сделать?
      Добавил диопазон ip адресов с рабочими станциями отсканировал, обнаружил пк но они не отображаются на вкладке хранилища - оборудование.
       

       
       
    • harmonrosta
      [РЕШЕНО] HEUR:Trojan.multi.GenBadur.genw не удаляется антивирусом Kaspersky
      От harmonrosta
      Добрый день, у меня аналогичная проблема, я скачал  Farbar Recovery Scan Tool, просканировал, данные в архиве прикладываю, подскажите как сделать к од для исправления проблемы?
      папка.zip Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...