Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

"Нет прав доступа" к антивири. Подозрение на вирус. Хелп. (заявка № 67640)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    27

    Exclamation "Нет прав доступа" к антивири. Подозрение на вирус. Хелп.

    В общем, захожу в один день в виндоус, а тут на тебе - каспер (KAV7) перестал работать. Более того, он не удаляется и не модифицируется со ссылкой на то, что "нет прав доступа". При попытке вручную запустить в службах - Ошибка 5: Нет доступа.
    Вместе с этим пропала стабильность системы - один раз выкинуло из игрового приложения вместе с игрой, второй раз - после перезагрузки из Безопасного режима ползунок "загрузка Windows" завис намертво. Резетнул.
    ОС - Windows XP SP3 32bit. Базы каспера постоянно обновлял, фаер виндовской.
    В общем, сам я не справлюсь. Надеюсь на вашу помощь.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 17.01.2010 в 22:02.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\Client\acdev.sys','');
     QuarantineFile('C:\DOCUME~1\Barry\LOCALS~1\Temp\KAO13.tmp','');
     QuarantineFile('C:\WINDOWS\System32\systool16b.dll','');
     QuarantineFile('c:\windows\system32\svсhоst.exe','');
     DeleteFile('c:\windows\system32\svсhоst.exe');
     DeleteFile('C:\WINDOWS\System32\systool16b.dll');
     DeleteFile('C:\DOCUME~1\Barry\LOCALS~1\Temp\KAO13.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    27
    Логи прикрепил, карантин залил.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    27
    И да. Так и должно теперь - при включении вылезать ошибка "Не найден svchost.exe" ?

    Добавлено через 11 часов 13 минут

    Добавлено через 5 часов 20 минут

    Ну так что, карантин чистый?
    Последний раз редактировалось Barry; 18.01.2010 в 16:03. Причина: Добавлено

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Профиксить:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe svсhоst.exe
    F2 - REG:system.ini: UserInit=userinit.exe,svсhоst.exe
    Backdoor.Win32.DeAlfa.qv, Trojan-Downloader.Win32.Obfuscated.wif были в карантине.

    Добавлено через 1 минуту

    Выполнить:
    Код:
    begin
    ExecuteRepair(6);
    RebootWindows(true);
    end.
    После перезагрузки проверить работу а/вируса.
    Последний раз редактировалось PavelA; 18.01.2010 в 17:24. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    27
    avp.exe - "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет прав доступа к этмоу объекту."
    При попытке запуска через службы - "Ошибка 5: Отказано в доступе".
    И да, при первой проверке обновленным avz (до этого сделал лог, но решил обновить) - авз завис где-то на "Поиск Trojan.downloader...". Случайность?
    По поводу антивируса - всё по прежнему.
    Свежие логи:
    Вложения Вложения
    Последний раз редактировалось Barry; 18.01.2010 в 19:21.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Редактором реестра не боитесь пользоваться?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    27
    Цитата Сообщение от PavelA Посмотреть сообщение
    Редактором реестра не боитесь пользоваться?
    Не боюсь, но из осторожности и не копаюсь там особо xD Разве-что недавно прошил одну игру под хамач.
    А надо?

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В редакторе реестра ищем:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths
    Все что касается а/вирусов удаляем.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    27
    Проблема, похоже, ухудшается. Сегодня был бсод со ссылкой на ntoskrnl.exe ( nt+9cfb8 ) в дампе (дамп приложить?) и кодом STOP: 0x00000050 (0xCE4E53E8, 0x00000000, 0x80573FB8, 0x00000000). Мб не по адресу, но, погуглив, нашел, что эта ошибка тоже говорит о вирусе.
    После этого удалился исполняемый файл Firefox, а процесс svhost грузит ЦП на 50%. В паре с IE зачастую все 100. Сейчас сижу через Оперу, грузящий процесс svchost.exe вырубил вручную.
    Логи приложил (и да, я после выполнения всех скриптов здесь, выложил тему со своей проблемой для рекомендаций на другой ресурс, схожий с этим, но имеющий непосредственное отношение к антивирусу. Сейчас выполняю их скрипты. Запрещено ли это, и могут ли последствия различных скриптов консультантов вести к конфликтам в случае чего?)
    PavelA Не нашел подпапки "0", плюс никак не пойму, что относится к чему, и что стоит удалять. Вот скрин:
    ps Приношу извинения за долгое отсутствие, уезжал. И спасибо за посильную помощь.
    Изображения Изображения
    • Тип файла: png reg.png (136.5 Кб, 23 просмотров)
    Вложения Вложения
    Последний раз редактировалось Barry; 01.02.2010 в 13:12.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Barry Посмотреть сообщение
    Запрещено ли это, и могут ли последствия различных скриптов консультантов вести к конфликтам в случае чего?
    На Ваше усмотрение.

    Опять кучка д...ма. Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('systool16b.dll','');
     QuarantineFile('C:\Program Files\Mars WinCleaner\WinCleaner.exe','');
     QuarantineFile('C:\Program Files\Mars WinCleaner\DelIndex.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
     QuarantineFile('C:\Documents and Settings\Barry\Главное меню\Программы\Автозагрузка\wwwpos32.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\yzykru.sys','');
     DeleteFile('C:\Documents and Settings\Barry\Главное меню\Программы\Автозагрузка\wwwpos32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин по ПРавилам.
    Сделать лог Гмер.
    Логи повторить заново.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    27
    Gmer сканил часа 4, наверное - в начале и в конце выдал - "WARNING! Gmer has found system modification caused by ROOTKIT activity".
    Логи приложил. Карантин выслал.
    Вложения Вложения
    Последний раз редактировалось Barry; 01.02.2010 в 13:12.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Придется подождать. У меня что-то результаты карантина не отображаются.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    27
    Я карантин днем заливал. Может поэтому не видно. Потому-как, пытаясь повторно залить, пишет, что уже залито.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    :\Documents and Settings\Barry\Главное меню\Программы\Автозагрузка\wwwpos32.exe -- Net-Worm.Win32.Koobface.dda по касперскому.

    Все остальное -только на одного подозрения.

    Для продолжения лечения скрипт напишу через пару часиков.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    27
    Для полноты информации, скажу - вчера, и сегодня (трижды) при включении выскочил Бсод. Т.к. я уходил афк, то может быть это было через какой-то промежуток на странице Log On'а(на компьютере 3 пользователя), сегодня первый раз было так же, второй сразу же после прогрузки ползунка "загрузка Windows". В третий раз просто зависло на начале прогрузки этого самого ползунка... Успешно загрузилось после выбора опции "загрузка с работоспособными параметрами.."
    Код ошибки - до этого был Page_fault_in (как описывал в посте №6, короче).
    Сегодня дважды выскочил Driver_IRQL_Not_Less_or_equal со ссылкой на какой-то ACPI.sys. Дампы приложить?
    И да. Сейчас попробую прогнать себя через KAV rescuecd. В общем, спасибо, что держите руку на пульсе)

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    выполнить (копировать аккуратно ):
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    BC_ServiceKill('yzykru',false);
    BC_Activate;
    RebootWindows(true);
    end.
    Лог Гмера повторить
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    27
    Всё сделал. Кстати, до выполнения Вашего скрипта, прогонял KAV rescuecd, он выявил руткит.win32.abmh, файлик yzykru.sys. Перед тем, как его удалить, скопировал в карантин в переименованном архиве. Его выслать?
    Лог гмера прилагаю.
    Вложения Вложения
    • Тип файла: log gmer.log (51.5 Кб, 4 просмотров)

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Да, присылай через красную ссылку.

    То,что я видел в логах, удалил (СПС моим коллегам за скрипт).

    Далее путь будет таким:
    Скрипты AVZ повторите и логи пришдите.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    27
    Павел, не совсем понял, какие именно скрипты avz повторить, или речь идёт о логах?
    Карантин я выслал, логи свежак.
    Вложения Вложения
    Последний раз редактировалось Barry; 01.02.2010 в 13:12.

  • Уважаемый(ая) Barry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 26.11.2010, 12:28
    2. Ответов: 6
      Последнее сообщение: 08.08.2010, 20:18
    3. Ответов: 1
      Последнее сообщение: 18.03.2010, 15:42
    4. Ответов: 9
      Последнее сообщение: 10.03.2010, 15:59
    5. Ответов: 8
      Последнее сообщение: 18.02.2009, 10:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00607 seconds with 21 queries