-
Junior Member
- Вес репутации
- 44
Руткит?, Сервис Каспеорского отключается.
Принесли машину: Касперский KAVWS MP4 отключенный, налицо наличие троянцев, выполнена была чистка AVZ (найдено несколько стартеров и троянов), после восстановления Касперского и перезагрузки: на минуту сервис подымается, потом 100% загрузка процессора, забивание диска С, краш сервиса KAV. Попытка лечить с загружаемого ДВД-диска с помощью KAV RT и CureIt! - ничего не найдено, KAV - по прежнему краш.
---
TDSSkiller - проверено - чисто
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) samrustem, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Ничего подозрительного не видно.
Сделайте лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 44
Bratez, после восстановления KAV с заданием пароля - сервис KAV не лег. Значит сервис ложился штатными средствами, лог gmer просто отправил комп в даун, попутно положив mbam и все браузеры.
-
Сообщение от
samrustem
лог gmer просто отправил комп в даун, попутно положив mbam и все браузеры.
Ого! Ну после перезагрузки-то все нормально или нет?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 44
Сообщение от
Bratez
Ого! Ну после перезагрузки-то все нормально или нет?
перезагрузился нормально, mbam постоянно ругается на входящие
вот гмер:
Код:
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit quick scan 2012-04-02 14:42:03
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Scsi\nvidesm1Port0Path0Target0Lun0 SAMSUNG_ rev.TK20
Running: rtptxesd.exe; Driver: C:\DOCUME~1\Admin\LOCALS~1\Temp\fwtdrpog.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateKey [0xBAF97392]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateValueKey [0xBAF973B4]
SSDT \WINDOWS\system32\ntoskrnl.exe (Системный модуль ядра NT/Корпорация Майкрософт) ZwQueryDirectoryFile [0x805792DB]
SSDT \WINDOWS\system32\ntoskrnl.exe (Системный модуль ядра NT/Корпорация Майкрософт) ZwQuerySystemInformation [0x8057D072]
---- Kernel code sections - GMER 1.0.15 ----
? \WINDOWS\system32\ntoskrnl.exe kernel module suspicious modification
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) IoIsOperationSynchronous
---- Devices - GMER 1.0.15 ----
Device \Driver\nvidesm \Device\Scsi\nvidesm1Port0Path0Target0Lun0 822881F8
Device \Driver\nvidesm \Device\Scsi\nvidesm1 822881F8
Device \Driver\nvidesm \Device\Scsi\nvidesm1Port0Path1Target0Lun0 822881F8
Device \FileSystem\Ntfs \Ntfs 822871F8
Device \FileSystem\Fastfat \Fat 81E611F8
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
---- EOF - GMER 1.0.15 ----
-
- Выполните в АВЗ:
Код:
procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
end;
begin
FixUpdate;
end.
Перезагрузите компьютер.
Повторите лог virusinfo_syscheck.zip
Попробуйте полностью удалить KAV и установить его заново.
-