Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не запускаются антивирусные программы (http://forum.oszone.net/showthread.php?t=145497)

alexataa 18-07-2009 13:49 1171286
Не запускаются антивирусные программы
 
Здравствуйте!
Прошу помочь в следующем:
после того,как вставил в комп флешку,комп заразило странным вирусом - проверка Cureit-ом выявила,что заразились исключительно файлы с расширением EXE.Вроде бы Cureit их исцелила, AVZ же после лечения Cureit-а ничего вирусоподобного не обнаружила,однако вирус явно есть,так как при попытке запустить тот же AVZ.exe он запускается и тут же исчезает,чего не происходит после смены имени AVZ.exe на любое другое имя,не содержащее комбинации AVZ.То же касается и Avira Antivir-а,то есть заметно,что при попытке запустить инсталятор известного антивируса или сам антивирус вирус срабатывает и убивает процесс. Однако после банальной замены имени запускаемого файла,вирус не распознает его и процесс запускается.Странно,что при срабатывании вируса никакой чужой процесс в панели задач не виден и не появляется. Вроде бы все работает,но установить антивирус Касперского 2010 не удается - во время установки выдает сообщение Internal Error 2771: VirtualKeyboardFeature и установка прерывается, другой антивирус ставить не особо хочется,так как в сравнении с каспером они слабоваты и ,как указано выше, вируса они не разглядели (касается Avira,Cureit и AVZ с последними обновлениями).

Надеюсь на полезные советы!

iskander-k 18-07-2009 15:18 1171331
alexataa, Здравствуйте. Выложите логи в соответствии с этими инструкциями.

alexataa 18-07-2009 16:13 1171360
iskander-k, постараюсь как можно быстрее выложить,так как видно - системе все больше уронов вирус наносит!Сейчас полностью заело панель задач, не запускается редактор реестра,Drag and Drop не работает и испортился Cureit,удалился после проверки в безопасном режиме и AVZ.exe. Одним словом, хочу отметить,что этот вирус смахивает на известный вирус VIRUS.WIN32.Sality.y,порожденный из флешки.Следует отметить, что на этот вирус указывал в свое время и Avira.

thyrex 18-07-2009 16:21 1171364
Если не получится с обычным AVZ, попробуйте полиморфный (ссылка в моей подписи)

alexataa 18-07-2009 16:53 1171386
Еще одна проблема от вируса - не дает возможности зайти на антивирусные сайты,к примеру,не обновляет AVP Tool,анонимный прокси тоже ничего не дает,хотя,наверное,это не к месту! Придется проверить комп с устаревшей базой AVP,AVZ же не доверяю,он вообще не реагировал на вирус,когда я им проверял!

thyrex 18-07-2009 16:59 1171390
Цитата:
Цитата alexataa
AVZ же не доверяю,он вообще не реагировал на вирус,когда я им проверял! »
Вполне возможно, что Вы словили что-нибудь новенькое. Да и базы AVZ ведь тоже нужно обновлять

Ссылка на скачивание полиморфного AVZ ведет на файлообменник. И базы у него поновее (обновление недоступно)

alexataa 18-07-2009 17:14 1171397
Вложений: 1
Выкладываю свежие логи!Простите,что не порознь,а одним RAR-файлом,так как вирус распознает названия hijackthis и avp и зависает систему при попытке прикрепить! Пришлось поместить эти 2 файла в один архив!

thyrex 18-07-2009 21:01 1171518
Перед выполнением скрипта отключить все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Пофиксить в HiJack
Код:
R3 - URLSearchHook: (no name) - {63432924-FF0F-4F2D-BA15-FE46454977A3} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [application] C:\WINDOWS\system32\wmpnetw.sys
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wmpnetw.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\utnpl.sys','');
 SetServiceStart('asc3360pr', 4);
 DeleteService('asc3360pr');
 DeleteFile('C:\WINDOWS\system32\drivers\utnpl.sys');
 DeleteFile('C:\WINDOWS\system32\wmpnetw.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи c помощью полиморфного AVZ и HiJack

Severny 19-07-2009 00:08 1171613
Цитата:
Цитата alexataa
Насчет полиморфного AVZ,скачалась подозрительная штучка обьемом 5.1 МВ и при этом ярлычная на вид и по расширению »
Это было то, что нужно. Файлы с расширениями блокирует вирус.

Цитата:
Цитата alexataa
Откуда можно скачать нормальный пакет программы,укажите,пожалуйста! »
http://z-oleg.com/avz4.zip

alexataa 19-07-2009 02:29 1171673
Вложений: 2
Окончательно выкладываю последние логи после того,как прочистил и карантинные файлы
(я установил Avira Antivir и провел полное сканирование системы,в результате были обнаружены в основном постфлешовские вирусы Sality.y,дал опцию - поместить в карантин и лечить,некоторые излечились,перезагрузил комп и вроде вирус исчез,но не уверен,поэтому выложил окончательные свежие логи согласно инструкциям сайта).
Всем благодарность за советы,особенно Вам,thyrex!
Большая просьба указать,что надо профиксить и какие скрипты выполнить!
Прошу прощения за беспокойство!

thyrex 19-07-2009 10:58 1171767
Перед выполнением скрипта отключить все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Пофиксить в HiJack
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: (no name) - {63432924-FF0F-4F2D-BA15-FE46454977A3} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [application] C:\WINDOWS\system32\wmpnetw.sys
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wmpnetw.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\qkkgfn.sys','');
 DeleteService('asc3360pr');
 DeleteFile('C:\WINDOWS\system32\drivers\qkkgfn.sys');
 DeleteFile('C:\WINDOWS\system32\wmpnetw.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

alexataa 19-07-2009 14:23 1171882
Вложений: 2
Все выполнил,как указывали!
Получил ответ:
Цитата:
Нужны файлы:
C:\WINDOWS\system32\drivers\qkkgfn.sys
C:\WINDOWS\system32\wmpnetw.sys
Присланные .ini файлы - чистые
Однако,этих файлов в компе не оказалось, - видимо,удалились!

Высылаю новые логи:

akok 19-07-2009 18:03 1172030
alexataa, а логи утилиты AVZ можно увидеть? В этой версии я ничего крамольного не вижу. :)


Время: 20:00.

Время: 20:00.
© OSzone.net 2001-