"Нет прав доступа" к антивири. Подозрение на вирус. Хелп.
В общем, захожу в один день в виндоус, а тут на тебе - каспер (KAV7) перестал работать. Более того, он не удаляется и не модифицируется со ссылкой на то, что "нет прав доступа". При попытке вручную запустить в службах - Ошибка 5: Нет доступа.
Вместе с этим пропала стабильность системы - один раз выкинуло из игрового приложения вместе с игрой, второй раз - после перезагрузки из Безопасного режима ползунок "загрузка Windows" завис намертво. Резетнул.
ОС - Windows XP SP3 32bit. Базы каспера постоянно обновлял, фаер виндовской.
В общем, сам я не справлюсь. Надеюсь на вашу помощь.
Последний раз редактировалось V_Bond; 17.01.2010 в 22:02.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
avp.exe - "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет прав доступа к этмоу объекту."
При попытке запуска через службы - "Ошибка 5: Отказано в доступе".
И да, при первой проверке обновленным avz (до этого сделал лог, но решил обновить) - авз завис где-то на "Поиск Trojan.downloader...". Случайность?
По поводу антивируса - всё по прежнему.
Свежие логи:
Последний раз редактировалось Barry; 18.01.2010 в 19:21.
Проблема, похоже, ухудшается. Сегодня был бсод со ссылкой на ntoskrnl.exe ( nt+9cfb8 ) в дампе (дамп приложить?) и кодом STOP: 0x00000050 (0xCE4E53E8, 0x00000000, 0x80573FB8, 0x00000000). Мб не по адресу, но, погуглив, нашел, что эта ошибка тоже говорит о вирусе.
После этого удалился исполняемый файл Firefox, а процесс svhost грузит ЦП на 50%. В паре с IE зачастую все 100. Сейчас сижу через Оперу, грузящий процесс svchost.exe вырубил вручную.
Логи приложил (и да, я после выполнения всех скриптов здесь, выложил тему со своей проблемой для рекомендаций на другой ресурс, схожий с этим, но имеющий непосредственное отношение к антивирусу. Сейчас выполняю их скрипты. Запрещено ли это, и могут ли последствия различных скриптов консультантов вести к конфликтам в случае чего?) PavelA Не нашел подпапки "0", плюс никак не пойму, что относится к чему, и что стоит удалять. Вот скрин:
ps Приношу извинения за долгое отсутствие, уезжал. И спасибо за посильную помощь.
Последний раз редактировалось Barry; 01.02.2010 в 13:12.
Gmer сканил часа 4, наверное - в начале и в конце выдал - "WARNING! Gmer has found system modification caused by ROOTKIT activity".
Логи приложил. Карантин выслал.
Последний раз редактировалось Barry; 01.02.2010 в 13:12.
Для полноты информации, скажу - вчера, и сегодня (трижды) при включении выскочил Бсод. Т.к. я уходил афк, то может быть это было через какой-то промежуток на странице Log On'а(на компьютере 3 пользователя), сегодня первый раз было так же, второй сразу же после прогрузки ползунка "загрузка Windows". В третий раз просто зависло на начале прогрузки этого самого ползунка... Успешно загрузилось после выбора опции "загрузка с работоспособными параметрами.."
Код ошибки - до этого был Page_fault_in (как описывал в посте №6, короче).
Сегодня дважды выскочил Driver_IRQL_Not_Less_or_equal со ссылкой на какой-то ACPI.sys. Дампы приложить?
И да. Сейчас попробую прогнать себя через KAV rescuecd. В общем, спасибо, что держите руку на пульсе)
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
BC_ServiceKill('yzykru',false);
BC_Activate;
RebootWindows(true);
end.
Лог Гмера повторить
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Всё сделал. Кстати, до выполнения Вашего скрипта, прогонял KAV rescuecd, он выявил руткит.win32.abmh, файлик yzykru.sys. Перед тем, как его удалить, скопировал в карантин в переименованном архиве. Его выслать?
Лог гмера прилагаю.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: