Показано с 1 по 13 из 13.

Подменяется beep.sys, не работает защита KAV 2009 (заявка № 51375)

  1. #1
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    7
    Вес репутации
    54

    Thumbs up Подменяется beep.sys, не работает защита KAV 2009

    Здравствуйте!
    Прошу мне помочь вылечить следующие симптомы:

    1. Система постоянно выдает сообщение "Защита файлов Windows: Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. ....".
    Выдержка из системного журнала: Была обнаружена попытка замены защищенного системного файла beep.sys
    После выполнения требования вставить установочный диск Windows, при следующей перезагрузке все повторяется.


    2. Не может запуститься защита KAV 2009 (был установлен после заражения)

    3. Утилита Dr. Web CureIt вызывает синий экран (прилагается фото)

    Перед этим лечил диск методом подключения к другому компьютеру при помощи корпоративного Kaspersky 6 со свежими базами. Что-то было найдено, но похоже не все.
    Изображения Изображения
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('C:\WINDOWS\System32\drivers\5dfa03b1.sys','');
     QuarantineFile('C:\WINDOWS\dntpkwoxsp.dll','');
     QuarantineFile('present.exe','');
     QuarantineFile('C:\heap41a\svchost.exe','');
     QuarantineFile('C:\Documents and Settings\sa\hp32_nword.exe','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\system32\hp32_nword.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sys32.sys','');
     DelCLSID('{236140d2-2846-4d32-9a0b-5365f850b3d3}');
     DeleteService('sys32');
     DeleteService('Passwdrenew');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('c:\windows\system32\hp32_nword.exe','');
     DeleteFile('c:\windows\system32\hp32_nword.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\WINDOWS\system32\hp32_nword.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\Documents and Settings\sa\hp32_nword.exe');
     DeleteFile('C:\heap41a\svchost.exe');
     DeleteFile('present.exe');
     DeleteFile('C:\WINDOWS\dntpkwoxsp.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    7
    Вес репутации
    54

    Скрипт НЕ перезагрузил компьютер

    Скрипт выполнил. Карантин выслал.
    Единственный момент: Перезагрузил систему вручную, так как скрипт этого не сделал.
    Сообщения о подмене файла больше не появляются. Однако KAV все также не работает.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    C:\WINDOWS\system32\Drivers\Ntfs.sys = Rootkit.Win32.HareBot.br
    это системный файл и без него компьютер не загрузится.
    Загрузитесь в Безопасном режиме, переименуйте C:\WINDOWS\system32\Drivers\Ntfs.sys и запишите на его место чистый из дистрибутива или другого компьютера.
    После этого повторите лог по пункту 2 Диагностики.

  6. #5
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    7
    Вес репутации
    54
    1. Выполнил. После перезагрузки выдал опять сообщение "Защита файлов Windows". В системных логах сообщений на этот счет не последовало Запустил системную утилиту "SFC - проверка системных файлов" и подсунул дистрибутив.

    2.Касперский без изменений
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    7
    Вес репутации
    54
    После перезагрузки в системный лог посыпалось множество сообщений
    1. Обнаружена попытка замены защищенного системного файла c:\windows\system32\drivers\beep.sys. Этот файл восстановлен до исходной версии для обеспечения стабильности системы. Версия системного файла 5.1.2600.0.


    2. Не удалось установить связь DCOM с компьютером PC3 через один из настроенных протоколов.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Gr0tesk Посмотреть сообщение
    Запустил системную утилиту "SFC - проверка системных файлов" и подсунул дистрибутив.
    Чревато тем, что вы получаете непропатченную систему.
    С файлом beep.sys можно проделать такой же фокус как и с Ntfs.sys.

    Пофиксте в HijackThis следующие строки:
    O2 - BHO: MSVPS System - {236140d2-2846-4d32-9a0b-5365f850b3d3} - C:\WINDOWS\dntpkwoxsp.dll
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKLM\..\Run: [hp32_nword] C:\WINDOWS\system32\hp32_nword.exe
    O4 - HKCU\..\Run: [hp32_nword] C:\Documents and Settings\sa\hp32_nword.exe
    O4 - HKLM\..\Policies\Explorer\Run: [status] present
    O4 - HKLM\..\Policies\Explorer\Run: [winlogon] C:\heap41a\svchost.exe C:\heap41a\std.txt
    O21 - SSODL: bgrlsmn - {1E361307-9D12-40E0-AEE7-E38CC27550FF} - (no file)
    Некоторых уже может не быт. После перезагрузки сделайте новый лог HijackThis.

  9. #8
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    7
    Вес репутации
    54
    Добрый день!

    Итак:
    1. Вручную в защищенном режиме заменил файл beep.sys
    2. Пофиксил указанные пункты

    Результат тот-же. Похоже что-то в системе пытается менять по своему усмотрению beep.sys
    Касперский не запускает защиту. На всякий случай его скриншот высылаю.
    Изображения Изображения
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Пришлите файл
    Код:
    C:\WINDOWS\System32\Drivers\Beep.SYS
    так, как написано в приложении 2 Правил.

  11. #10
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    7
    Вес репутации
    54
    Карантин выслал.
    Еще предпринял следующие действия:
    1. Удалось запустить утилиту Dr. Web CureIt!. Кое что нашла.
    2. Создал на другом компьютере аварийный диск KAV 6 с последними обновлениями и пролечил систему. Лог прилагается.

    Тем не менее ситуация не изменилась. KAV 2009 - защита не работает, beep.sys - провоцирует программу защиты системных файлов
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Установите обновления безопасности на Windows.
    Начать лучше с Service Pack 3 на Windows (может потребоваться активация).
    Переустановите антивирус.

  13. #12
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    7
    Вес репутации
    54
    Система вылечена.1. С помощью утилиты jv16 PowerTools 2009 проанализировал реестр и нашел много мусора от предыдущих версий Касперского, Nod32, DrWeb и т.д. По-видимому устанавливали и некорректно удаляли.2. С помощью переменной среды devmgr_show_nonpresent_devices = 1 нашел также в списке устройств следы от драйверов касперского и удалил их.3. Установил SP34. Установил Касперского 2009Все стабильно работает, подозрительной активности не наблюдается.Огромное спасибо за помощь!!!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Rootkit.Kobcka.Patched.Gen )
      2. c:\windows\system32\hp32_nword.exe - Trojan-Dropper.Win32.Agent.ayzp ( DrWEB: Trojan.MulDrop.33201, BitDefender: Trojan.Agent.ANHR )


  • Уважаемый(ая) Gr0tesk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. В Comodo не работает «защита»
      От tar в разделе Межсетевые экраны (firewall)
      Ответов: 25
      Последнее сообщение: 09.07.2010, 19:09
    2. Не работает файловая защита NOD
      От Vovanich в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 05.10.2009, 14:26
    3. Защита не работает
      От webgor в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.06.2009, 12:52
    4. Помогите. Не работает антивирусная защита
      От Alex Dmitriev в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.04.2009, 18:15
    5. Не работает защита от сетевых атак
      От Leia в разделе Общая сетевая безопасность
      Ответов: 5
      Последнее сообщение: 11.09.2008, 18:28

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00177 seconds with 20 queries