-
Junior Member
- Вес репутации
- 52
Блокировка запуска KIS 6.0 WinWork, AVZ, HijackThis
Добрый день. На компьютере с Windows XP SP2 длительное время стоял Касперский Personal 5 версии. Он обновлялся и в целом был рабочим, как казалось мне, функции свои выполнял. Некоторое время назад, около недели, антивирус перестал запускаться при загрузке системы, но я не стал бить тревогу, потому что при запуске "руками" он совершенно нормально включался, более того, это был второй раз с подобным поведением антивируса, но это вылечивалось переустановкой.
Так как запускать антивирус надоело, было принято решение заменить его на Kaspersky Anti-Virus 6.0 for Windows Workstations. После установки антивируса (которая проходит в штатном режиме), когда инсталлятор просит нажать "Далее" для настройки клиента, сам клиент не запускается. Дистрибутив точно рабочий, проверен множество раз, всё работало на других компьютерах. Вот тут и возникло ощущение, что компьютер получил заражение. Дабы исключить неправильную установку, было произведено удаление дистрибутива средствами самого антивируса, заново он же установлен, но это не решило проблему. Был скачан "CureIt!", проверена система в безопасном и нормальном режиме быстрой и полной проверкой. Проверка не дала результатов, заражённых файлов не найдено. После этого был скачан AVZ и HijackThis. AVZ отказывался запускаться до тех пор, пока я не изменил расширение файла с .exe на .com. Аналогично сопротивлялся и HijackThis. Проверка AVZ не дала результатов. При помощи AVZ был проверен полностью системный диск. Проверка опять же не дала результатов, не были найдены подозрительные или опасные объекты. Была сделана и проверка AVPTool'ом. Негативных результатов нет. Являются ли вышеописанные отказы в запуске только этих программ признаком наличия вируса в системе?
Прилагаю логи, хотя однозначного вывода о наличии вируса сделать не смог:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wpv201242489203.exe','');
DeleteService('AlerterALG');
DeleteService('WinpowermanagerNetlogon');
QuarantineFile('C:\WINDOWS\system32\2052t.exe','');
DeleteFile('C:\WINDOWS\system32\2052t.exe');
DeleteFile('C:\WINDOWS\system32\wpv201242489203.exe');
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи заново. Карантин прислать по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил. Логи во вложении. Карантин выслать не могу, он пустой.
Стал запускаться AVZ со своим родным расширением .exe.
-
Выполнить:
Код:
procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Cdaulap.sys','');
FixUpdate;
ExecuteRepair(6);
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
Повторить логи.
Если что-то в карантин попадет, то прислать.
Доложить о самочувствии больного.
Последний раз редактировалось PavelA; 30.01.2010 в 13:13.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Перед запуском скрипта я сделал проверку синтаксиса. Она утверждает, что "Ошибка: ';' expected в позиции 2:1"
Ничего я исправлять не стал, но не потеряли ли вы ";"? =)
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил. Больной чувствует себя значительно лучше. Антивирус установился. Спасибо.
Логи в приложении. Карантин содержит два файла. Высылаю в архиве с паролем.
Спасибо большое за помощь. Вы не знаете ли, что за прелесть это могла быть?
-
Для зачистки мусора:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Cdaulap');
DeleteFile('c:\windows\system32\Cdaulap.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
что было не скажу, ни одного файла нам не досталось. Единственное, что могу
сказать, что малваре старенькая. Такая была популярна с полгода назад.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-