Вирус блокирует работу продуктов Касперского [OK]

[Lekseich]

Здравствуйте!

Проблема добралась и до меня. Во время посещения китайского сайта военной тематики, было сообщение от KAV2009 о вирусной атаке и в этот момент Касперский исчез...

Если я сделал всё правильно, то применил указанные программы для сканирования и создания отчётов.

Надеюсь на Вашу помощь в реанимации и восстановления работоспособности Антивируса Касперского.

Заранее благодарен!

 

P.S. Из-за невозможности загрузить AVZ файл был переименован как "zva.com", а hijackthis (по этой же причине) использовал по приведённой ссылке http://virusinfo.info/soft/1.zip

 

P.P.S. Следует ли к приведённому списку файлов прикрепить ещё и avptool_syscheck?

virusinfo_syscheck.zipПолучение информации...

virusinfo_syscure.zipПолучение информации...

hijackthis.logПолучение информации...

Изменено 29 мая, 2009 пользователем wise-wistful

[StormHold]

а как у тебя ведет себя система? Тормоза появляются? у меня каспер стал через раз загружаеться при старте винды.. но тормоза ужастные, что то ему мешает.

[Lekseich]

  StormHold сказал:

а как у тебя ведет себя система? Тормоза появляются? у меня каспер стал через раз загружаеться при старте винды.. но тормоза ужастные, что то ему мешает.

Да нет ничего такого я не заметил, работоспособность в норме, глюков не наблюдаются, но находиться в сети без Касперского как-то не по себе...

[StormHold]

  Lekseich сказал:

Да нет ничего такого я не заметил, работоспособность в норме, глюков не наблюдаются, но находиться в сети без Касперского как-то не по себе...

 

 

 

ясно. похоже случаи похожие, может это зависит от версий Windows. У меня XP SP3

[Lekseich]

  StormHold сказал:

ясно. похоже случаи похожие, может это зависит от версий Windows. У меня XP SP3

Возможно... у меня ХР SP2...

[thyrex]

В логах увидел Avast, а не Касперского

 

Сами делали?

  Цитата

>> Заблокирована закладка Рабочий стол в окне свойств экрана

>> Заблокирована закладка Заставка в окне свойств экрана

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Yja41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Usr71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tbc14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Spm81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qia57.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ojw35.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ofc41.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Nyb81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nen22.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Goe03.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ebd02.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Dgq14.sys','');
DeleteService('Yja41');
DeleteService('Usr71');
DeleteService('Tbc14');
DeleteService('Spm81');
DeleteService('Qia57');
DeleteService('Ojw35');
DeleteService('Ofc41');
DeleteService('Nyb81');
DeleteService('Nen22');
DeleteService('Goe03');
DeleteService('Ebd02');
DeleteService('Dgq14');
DeleteFile('C:\WINDOWS\System32\drivers\Dgq14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ebd02.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Goe03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nen22.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Nyb81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ofc41.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ojw35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qia57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Spm81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tbc14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Usr71.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Yja41.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('msansspc.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Pinch - {F039C188-D8C7-4B6E-B6CC-A5E789B11329} - (no file)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O4 - S-1-5-18 Startup: is-GNP6T.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: is-GNP6T.lnk = ? (User 'Default user')
O4 - Startup: is-GNP6T.lnk = ? 
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)

Сделайте новые логи

[Lekseich]

  thyrex сказал:

В логах увидел Avast, а не Касперского

После того, как напасть на меня такая свалилась, перепробовал всё что можно и не нужно )), но потом всё же стал планомерно идти к решению проблемы, после чего и попал именно сюда, НА ЭТОТ форум!

 

Прикрепляю новые логи, ну а ответ по мере того, как он появится!

virusinfo_syscheck.zipПолучение информации...

virusinfo_syscure.zipПолучение информации...

hijackthis.logПолучение информации...

[thyrex]

Что с проблемой?

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\cdiskdun.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip (если не окажется пустым) из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

 

Повторю вопрос: сами делали?

>> Заблокирована закладка Рабочий стол в окне свойств экрана
>> Заблокирована закладка Заставка в окне свойств экрана

Изменено 28 мая, 2009 пользователем thyrex

[Lekseich]

  thyrex сказал:

Что с проблемой?

Выполнил все указанные действия, но в ответе на первое письмо с архивом, было написано, что файл не пришёл, вероятно его удалила антивирусная почтовая программа.

Я отправил повторно и также добавил в него архив, после второй обработки AVZ. Пока жду ответа....

 

  Цитата

Повторю вопрос: сами делали?

>> Заблокирована закладка Рабочий стол в окне свойств экрана
>> Заблокирована закладка Заставка в окне свойств экрана

Честно, даже не знаю, я ли такое сделал?!... А это может на что-то влиять?

 

Вкладываю файл Gmer.

 

P.S. Кстати, по поводу запрещения "Восстановления системы". Когда можно возобновить работу данной функции?

gmer.logПолучение информации...

[Alex56]

AVZ-Файл-Мастер поиска и устранения проблем-Категория проблемы(Системные проблемы), степень опасности (Проблемы средней тяжести)-ПУСК. После отметить галочками

>> Заблокирована закладка Рабочий стол в окне свойств экрана
>> Заблокирована закладка Заставка в окне свойств экрана

Исправить отмеченные проблемы.

 

В логе чисто.

Включите восстановление системы.

[Susumi]

Чашше обновился бы, Антивирусу и саму винду, без проблем бы работал

[ТроПа]

Уважаемый, Susumi, из чего вы сделали выводы о частоте обновлений?

[Lekseich]

  Alex56 сказал:

Исправить отмеченные проблемы.

Отметил и исправил!

 

  Цитата

В логе чисто.

Включите восстановление системы.

Включил!

 

После всех проведённых операций, при попытке начать установку программы KAV2009, компьютер перезагружается и это происходит постоянно, пока не воспользуешься F8...

Что в данном случае можете подсказать?

[thyrex]

AVP Tool удалили? Avast также стоит удалить

[Lekseich]

  thyrex сказал:

AVP Tool удалили? Avast также стоит удалить

Да вроде бы удалил их подчистую с соответствующей чисткой реестра...

 

  Susumi сказал:

Чашше обновился бы, Антивирусу и саму винду, без проблем бы работал

В общем то... до последнего момента, старался обновляться, как раз перешёл на пробную версию KAV2009, чтобы заценить программу и в последствии приобрести ключ (благо у нас в городе можно это легко сделать, хоть в магазине, хоть ч/з и-нет магазин), но увы, проработала программа только половину срока, после чего... известно что произошло...

 

И к вопросу об отосланных файлах quarantine.zip из папки AVZ на newvirus@kaspersky.com.

Всё присланное оказывалось пустыми сообщениями, с отсутствием вложений, то есть от файла, во всех случаях, оставалась только запись, что он БЫЛ, а самих архивов... как корова языком... :-(