Не устанавливается Касперский (ошибка klif.sys)

[Kostya777]

Здравствуйте! Ситуация следующая:

Установлен был kav 6.0.3.837+Агент Администрирования

Проблема началась с появления ошибки в сбое некоторых служб Каспера (Файловый антивирус и ещё парочка не работали). Решил переустановить и в ходе установки при копировании новых файлов выдается "Ошибка 1326:C:\Windows\system32\drivers\klif.sys. Возвращена функцией GetLastError : 1816" и происходил откат установки.

 

Была произведена проверка CureIT от Dr.Web - нашел какие-то 2 "возможно.MACRO.virus'а", которые удалил.

Прогнал Kaspersky Removing Tool (бесплатной утилиткой от Касперского,которая удаляется после проверки). Она нашла еще 1 какой-то вирус-удален

После этих процедур ничего не изменилось,установка так и не прошла должным образом

Файл klif.sys не удаляется,не переименовывается,не перемещается...Выдает ошибку "Недостаточно квот для обработки команды" - без понятия,что это значит.

 

Скачал утилиту AVZ архивом,который у меня не распаковывается должным образом, опять-таки "Недостаточно квот для обработки команды" и при распаковывании все файлы filename.AVZ не распаковываются.(З.Ы. на другом компе всё ок)

Поставил сканировать этот комп каспером с другого компьютера...было найдено 4 вируса

(3 Trojan-Dropper.Win32.Agent.ajjm и 1 Trojan-Spy.Win32.Goldun.bwt).

Троян-агентов он удалил (файлы ...\system32\drivers\dwshd.sys , EIO.sys , REGSYS.SYS) , а Goldun ни в какую (файл C:/windows/system32/pptpr.dll )

Проверил на virustotal файл pptpr.dll -60%,что вирус.

После удаления Троян-агентов антивирус установился,но опять проблема со службами касперского.

Была скачана полиморфная версия AVZ (одним файлом).Поставил на сканирование и программа тоже определила в нем вирус.Вписал какой-то скрипт на удаление этого файла(восстановление системы было выключено).В итоге этот файл удалился!Решил переустановить каспер и Бац!)))Опять та же ошибка с klif.sys.

 

Требуется помощь: Как установить касперский,вернуть ему работоспособность и если есть вирусы,то по правильному их удалить

 

Сейчас на компьютере не установлен антивирус

Была произведена проверка CureIT, AVZ, Kaspersky Removing Tool и с другого компьютера Kav 6

На время проверки AVZ восстановление системы было отключено.

ОС Window XP SP2.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 17 марта, 2009 пользователем Kostya777

[thyrex]

Была скачана полиморфная версия AVZ (одним файлом).Поставил на сканирование и программа тоже определила в нем вирус.Вписал какой-то скрипт на удаление этого файла(восстановление системы было выключено).В итоге этот файл удалился!Решил переустановить каспер и Бац!)))Опять та же ошибка с klif.sys.

На время проверки AVZ восстановление системы было отключено.

ОС Window XP SP2.

1. Выполнить скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('pptpr.dll','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('pptpr.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('pptpr.dll');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

2. Пофиксить в HiJack

O20 - Winlogon Notify: pptpr - pptpr.dll (file missing)

 

Повторите все логи

Изменено 17 марта, 2009 пользователем thyrex

[Alexey_I]

.было найдено 4 вируса

(3 Trojan-Dropper.Win32.Agent.ajjm и 1 Trojan-Spy.Win32.Goldun.bwt).

Троян-агентов он удалил (файлы ...\system32\drivers\dwshd.sys , EIO.sys , REGSYS.SYS)

Очень странно, точно эти файлы? Логи антивируса можете выложить?

Файлы TSP.sys и pptpr.sys - поищите через AVZ, (д.б. в C:\WINDOWS\system32\drivers), добавьте в карантин и проверьте на virustotal.com, если не найдутся, можете поискать дополнительно с помощью IceSword, написано здесь.

Можете также проверить EIO.sys, REGSYS.SYS (в логах есть REGSYS.SYS - активен, д.б. от regmon)

Если файлы TSP.sys и pptpr.sys окажется зловредами, выполните дополнительно к посту 2 скрипт.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\TSP.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\pptpr.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\TSP.sys');
DeleteFile('C:\WINDOWS\system32\drivers\pptpr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('pptpr');
BC_DeleteSvc('TSP');
RebootWindows(true);
end.

Запустите AVZ. В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", перезагрузите компьютер и сделайте новые логи. Дополнительно скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[Kostya777]

Ответ от newvirus@kaspersky.ru пришел.Выложил во вложениях

Да,точно эти файлы,Alexey_I.Выложил часть лога во вложениях(там где написано,что нашел и что вылечил или удалил)logfile.txt

Сделаны логи в соответсвии с рекомендациями во 2 посте

 

Сообщение от модератора wise-wistful

Нам не нужно имя аналитика, который проводил анализ, аттач удалил и ниже выложил ответ

Здравствуйте,

 

pptpr.dll - Trojan-Spy.Win32.Goldun.bwt

 

Детектирование файла будет добавлено в следующее обновление.

 

Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.

 

 

> Пароль на архив: virus

>

-----------------

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 18 марта, 2009 пользователем wise-wistful

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\REGSYS.SYS','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

Повторите логи.

Изменено 18 марта, 2009 пользователем wise-wistful

[sergio342]

в логах есть REGSYS.SYS - активен, д.б. от regmon

Под него маскируется троян:

C:\WINDOWS\system32\drivers\REGSYS.SYS - http://www.virustotal.com/analisis/9bb22d3...19cb3a5f1ac093f

C:\WINDOWS\system32\drivers\EIO.sys - такой же: http://www.virustotal.com/analisis/9bb22d3...19cb3a5f1ac093f

Изменено 18 марта, 2009 пользователем sergio342

[ТроПа]

Это из данной темы образцы или нет?

[sergio342]

Ага, из 4-го сообщения, поиск по хешу.

Изменено 18 марта, 2009 пользователем sergio342

[Alexey_I]

Не вижу ни логjв AVZ с включенным AVZM, ни логов gmer, ни рез-тов проверки файлов. Все эти рекомендации были.

Из логов

удалено: троянская программа Trojan-Spy.Win32.Zbot.fem Файл: C:\System Volume Information\_restore{691EF2BD-92E3-4114-95B1-D4243ABCFBC1}\RP5\A0000704.exe

удалено: троянская программа Trojan.Win32.Agent.ardl Файл: \\ray\Public\MarioForever.exe

обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\Documents and Settings\k.nesterov\Рабочий стол\avz4\avz.exe

не найдено: троянская программа Trojan-Spy.Win32.Goldun.bwt Файл: \\sionov\C$\WINDOWS\system32\pptpr.dll

удалено: троянская программа Trojan-Dropper.Win32.Agent.ajjm Файл: \\sionov\C$\WINDOWS\system32\drivers\dwshd.sys

удалено: троянская программа Trojan-Dropper.Win32.Agent.ajjm Файл: \\sionov\C$\WINDOWS\system32\drivers\EIO.sys

удалено: троянская программа Trojan-Dropper.Win32.Agent.ajjm Файл: \\sionov\C$\WINDOWS\system32\drivers\REGSYS.SYS

Ещё не означает, что файлы были с этого компьютера, тем более файлы удалены.

sergio342, хэш конкретно файлов этого компьютера откуда брали?

[sergio342]

Из avz_sysinfo.xml

[Alexey_I]

Если действительно зловреды (топикстартеру не мешало бы самому проверить на VT), можно удалить скриптом

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('REGMON');
SetServiceStart('REGMON', 4);
SetServiceStart('EIO', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\REGSYS.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\EIO.sys');
DeleteFile('C:\WINDOWS\system32\drivers\REGSYS.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('EIO');
BC_DeleteSvc('REGMON');
BC_Activate;
RebootWindows(true);
end.

Сделать новые логи с вкл. AVZM и логи gmer

 

sergio342, спасибо )

[sergio342]

Не за что .

Еще заметил, что когда сидит Goldun, его можно определить по этой записи:

Функция IoCreateFile (80570BF3) - модификация машинного кода. Метод JmpTo. jmp F8A1D5CA \?\C:\WINDOWS\system32\drivers\REGSYS.SYS

Изменено 18 марта, 2009 пользователем sergio342

[Alexey_I]

sergio342, regmon от бывшей sysinternals в принципе тоже глубоко в систему лезет, не делал логи AVZ с работающим sysmon, в xml вообще давно не заглядывал, забыл, что там бывают хэши )

[Kostya777]

Господа, огромное Вам всем человеческое спасибо за внимание и помощь.Но, увы, решение проблемы затянулось и было решено снести ОСь)Я бы с радостью выполнил все эти команды, но владелец ПК ясно сказал, что переустанавливай винду.