-
Junior Member
- Вес репутации
- 56
Не работают и не устанавливаются антивирусы, нет доступа к их сайтам, невозможно загрузиться в SafeMode (Win32.Sality)
Не работают и не устанавливаются антивирусы, нет доступа к их сайтам, невозможно загрузиться в SafeMode (***stop:0x0000000).
Вернее KIS устанавливается, но не запускается.
AVZ - не запускается или запускается не дольше чем на 1 сек, пока не переименуешь файл avz.exe в 777.pif (что я и сделал).
Установочник CureIt не запускается. Сайты антивирусов недоступны, даже не пингуются и tracert до них не идёт.
Насчёт ошибки в safe mode не до конца уверен, т.к. компом рулю дистанционно, и я ошибку записал по словам пятиклассницы, но якобы она такая: Windows has been shut down to prevent damage to your computer STOP 0x0000000
Анализ лога HijackThis говорит, что всё чисто. Логи AVZ вроде тоже чисты. Остального запустить не могу.
Запускал Ad-Aware, он лишь нашёл 3 трекинг куки, что ну совсем не серьёзно.
Ах да, и самое главное: комп диагностирую удалённо, через TeamViewer (аналог Radmin-a).
Anvir.exe - Anvir Task Manager, проверенная прога.
Anvirhook.dll - кусок Anvir Task Manager-a, безопасен.
felix.exe - некий биллинговый клиент, необходимый для соединения с инетом через провайдера Бирюлёво.нет
teamviewer.exe - собственно сама прога TeamViewer.
777.pif - переименованный avz.exe
И учтите, пришлось отступить от некоторых правил, в связи с тем, что диагностику компа провожу удалённо.
Последний раз редактировалось Drug0y; 21.05.2009 в 20:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('asc3360pr');
QuarantineFile('C:\WINDOWS\system32\drivers\kmrhvn.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\kmrhvn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 56
Карантин пуст. Пока всё по прежнему.
Получил недавно BSOD: 0x000000ce (... ... ... ...) там, же было про ujk0mtm1.sqs (поиск не дал результатов)
и такую вот ошибку:
Windows - Устройство не готово
Exception Processing Message c00000a3 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c
+ не могу печатать теперь на английском почему-то. Только русский. Хотя индикатор языка около трея показывает что выставлен англ, и он удачно меняется на русск. и обратно, но ввод происходит только на русском при этом. Только в окне фаерфокса ввод был на английском и то, временно.
И ещё немножко оффтопный вопрос: как посмотреть какие обновления (винапдейт) винда собирается установить? при клике пуск-выключение рядом с кнопкой "выключить" имеется информация, что винда хочет установить 2 обновления, хотя я ей вроде такого не говорил. В винапдейте есть вредные обновления (типа "устройство удаления вредоносных программ", которое я лично приравниваю к вирусу, т.к. потом от него не избавиться никак), не хотелось бы их устанавливать.
Прошу прощения за даблпостинг, кажется вложения не прицепились.
Выполнил скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('asc3360pr');
QuarantineFile('C:\WINDOWS\system32\drivers\kmrhvn.sys','');
DeleteService('asc3360pr');
DeleteFile('C:\WINDOWS\system32\drivers\kmrhvn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('asc3360pr');
BC_Activate;
RebootWindows(true);
end.
Комп повис на "проигрывание звука перезагрузки". Нажал кнопку reset и кажется зловред ещё жив (причём с тем же именем).
2-ой раз прислал карантин, т.к. после выполнения
QuarantineFile('C:\WINDOWS\system32\drivers\kmrhvn .sys','');
этот файл добавился в карантин.
Прошу перестать меня игнорировать и напишите, пожалуйста, код для исполнения.
Последний раз редактировалось Rene-gad; 21.05.2009 в 19:29.
-
Скачать AVZ из моей подписи.
Выполнить:
Код:
begin
SetAVZPMStatus(True);
ExecuteRepair(10);
RebootWindows(true);
end.
Сделать новые логи.
P.S. Если я смотрю файлы и не отвечаю, то значит просто не знаю чего сказать Вам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
После выполнения этого скрипта комп перезагрузился уже не вешаясь и после перезагрузки всё стало ОК: сайты открываются, kmrhvn.sys a.k.a. asc3360pr больше нет.
Логи выкладывать не стану, т.к. теперь они чисты.
Спасибо большое за помощь, вы спасли людей от беды
Добавлено через 1 час 16 минут
Хммм, кто бы знал... но история получила продолжение:
поставил касперского, обновился, он без спросу сразу начал сканировать всё подряд, и сказал, что felix.exe содержит Win32.Sality.
после чего, меня естественно отрубило от того компа, т.к. я им управлял через TeamViewer (аналог радмина), а т.к. феликс отвечает за доступ к инету, и был нейтрализован (или грохнут) касперским, то меня, соответственно и отрубило.
На оффсайте этого убогого провайдера, раздаётся этот самый felix, без которого, в инет не выйти. Я уже со своего компа скачал этот дистриб и отправил на вирустотал, вот анализ. Из него видно, что 22 из 39 антивирусов сказали, что файл заражён (причем чем? каждый антивирус определяет по разному). При этом, ведущие антивирусы такие как касперский, др.веб, нод32, комодо, аваст и ф-секъюр, говорят, что файл чист. При этом поставленный на ту машину касперский тут же и определил феликс как вирус.
Помогите, не знаю чем
Вирус это или нет?
Последний раз редактировалось Drug0y; 21.05.2009 в 21:11.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 56
Так всё-таки, вирус ли это? Без этой программки нельзя выходить в интернет, но и с вирусом сидеть - тоже не хорошо.
-
-
-
Надо этот комп проверить Куреитом, записав его на СД. Боюсь, что удаленно это у Вас не получиться.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
Alex_Goodwin
Загрузил. (по ошибке сделал это дважды, т.к. первый раз не увидел, что архивы надо запароливать).
Сообщение от
PavelA
Надо этот комп проверить Куреитом, записав его на СД. Боюсь, что удаленно это у Вас не получиться.
Ну, там сейчас касперский же поставлен, с последними базами, может он чего найдёт... А вот къюрит-ом я бы проверил, но т.к. это дистанционно сделать нельзя, а если его поставить параллельно касперу, то возможна война, так что с этим пока придётся подождать.
Мне вот в личные сообщения 1 хороший человек написал следующее:
Сообщение от
Serrrgio
вот почему антивирусы считают его за вирус
Цитата:
PEiD..: Armadillo v1.71
это протектор, который создает виртуальную машину для защиты исполняемых файлов, анализировать такие файлы практически невозможно, по-этому многие вирусописатели используют этот протектор. Естессно антивирусы, видя этот протектор считают его за вирус.
Возможно конечно это ложное срабатывание, тогда нужно этот файл с больной машины отправить в лабораторию антивирусной компании и те вынесут вердикт заражен этот файл файловым вирусом или это ложное срабатывание.
А если я отправлю это файл на проверку, скажем, лаборатории касперского - они могут предоставить полный анализ? если нет, то кто может?
-
Не знаю насколько полный анализ ты хочешь получить, но расскажу, что у нас на форуме есть тема, в которую на проверку можно загрузить любой файл и получить ответ: вирус это или нет.
Салити, если он там есть, может заразить Касперского раньше, чем он установиться.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
вирлаб ответил
Здравствуйте,
felix.exe
Вредоносный код в файле не обнаружен.
Добавлено через 1 минуту
Против салити можете проверится утилитой http://support.kaspersky.ru/faq/?qid=208636131
Последний раз редактировалось Alex_Goodwin; 22.05.2009 в 12:58.
Причина: Добавлено
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-