-
Junior Member
- Вес репутации
- 51
Вирус не дает работать антивирусу
Здравствуйте. Поймал какой то вирус с флешки, он отключил мне антивирус Symantec Endpoint Protection, сначала повредил описания защиты, а потом и сам антивирус. Сначала думал что просто сам антивирус затупил (была уже похожая ситуация), вставил флешку в другой компьютер с таким же рабочим антивирусом, и там он тоже его поломал. Проверял такими программами как combofix, dr. web cureit, avp tool, бесполезно. Они только находят вирусы которые залезли уже после отключения антивируса. Ставил KIS 10, вирус ему тоже не дает работать. Потом поставил заново SEP с обновлениями и проверил на вирусы, тот злой вирус он так и не нашел, и через какое то время опять отключился. Сделал все как написано в правилах, логи прилагаю.
Вложение 247909
Вложение 247910
Вложение 247911
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteRepair(9);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 51
Ухты, антивирус после перезагрузки заработал. Вот новый лог
-
Junior Member
- Вес репутации
- 51
Это все?, больше ничего делать не надо?
-
Скачайте файл ScanVuln.txt, скопируйте из него скрипт и выполните в AVZ. Пройдитесь по ссылкам
из файла avz_log.txt и установите обновления.
На этом всё
-
-
Junior Member
- Вес репутации
- 51
Большое вам спасибо за помощь!!! Имеется вторая машина с такой же проблемой, я так понимаю там нужно создавай свои логи и отправлять вам? И вирус этот сидит на флешке, как мне его оттуда удалить?
-
Другая машина - новая тема с логами.
-
-
Junior Member
- Вес репутации
- 51
Хорошо чуть позже кину логи с другой машины, а с флешкой что делать?
-
Отключите автозапуск и подключите флэшку, потом делайте логи. Я думаю, эта тема решена. Создавайте новую, там и поговорим
-
-
Junior Member
- Вес репутации
- 51
Опять выгрузился антивирус
-
Опять заразу подцепили.
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\7a3c067d.tmp');
QuarantineFile('C:\WINDOWS\system32\appmgmt.dll','');
QuarantineFile('C:\WINDOWS\system32\AppMgmt.dll','');
QuarantineFile('C:\WINDOWS\system32\6to4.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\5239087D.sys','');
QuarantineFile('c:\windows\temp\7a3c067d.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\68FF236B.sys','');
SetServiceStart('68FF236B', 4);
DeleteService('68FF236B');
DeleteService('5239087D');
DeleteFile('C:\WINDOWS\system32\drivers\68FF236B.sys');
DeleteFile('c:\windows\temp\7a3c067d.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\5239087D.sys');
DeleteFile('C:\WINDOWS\system32\6to4.dll');
DeleteFile('C:\WINDOWS\system32\appmgmt.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('68FF236B');
BC_DeleteSvc('5239087D');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 51
Посмотрите еще пожалуйста мою вторую тему http://virusinfo.info/showthread.php?t=81525 а то я там уже давно логи выложил.
карантин: 100623_155257_virus_4c21f5999723d.zip
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\63A44D37.sys','');
QuarantineFile('c:\downloads\avz4\avz.exe','');
SetServiceStart('63A44D37', 4);
DeleteService('63A44D37');
DeleteFile('C:\WINDOWS\system32\Drivers\63A44D37.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\63A44D37.sys');
DeleteFile('C:\WINDOWS\system32\appmgmt.dll');
BC_DeleteSvc('63A44D37');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + лог mbam
-
-
Junior Member
- Вес репутации
- 51
После выполнения скрипта антивирус реанимировался. Карантин: 100628_084138_virus_4c28280225673.zip
k-lite не хочет полноценно вставать. Через дм качает с очень маленькой скоростью (даже с локалки такая же скорость как и с внешки), а через браузер нормально качает, вот только скачки постоянно обрываются. И еще антивирус не запускает полное и быстрое сканирование, при чем при повторном нажатии на кнопку пишет что процесс уже запущен. (после прошлого лечения тоже самое было)
Последний раз редактировалось s.slava; 28.06.2010 в 11:03.
-
Удалите в в mbam
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvastUI.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avshadow.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rp.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360se.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360softmgrsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360speedld.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ast.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avguard.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avmailc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avwebgrd.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccenter.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\рюёґ№¤ѕЯ.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfw32.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfwsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krnl360svc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kswebshield.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvmonxp.kxp (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvsrvxp.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatch.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcagent.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcmscsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcnasvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcods.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcproxy.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcsacore.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcsysmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcvsshld.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mpfsrv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mpmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mpsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mpsvc1.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mpsvc2.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msksrver.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qutmserv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsagent.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstray.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxtray.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanfrm.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sched.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sfctlcom.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spiderml.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spidernt.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spiderui.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tmbmsrv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tmproxy.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ufseagnt.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zhudongfangyu.exe (Security.Hijack) -> No action taken.
Зараженные файлы:
C:\Qoobox\Quarantine\C\Documents and Settings\слава\Application Data\FieryAds\FieryAdsUninstall.exe.vir (Adware.FieryAds) -> No action taken.
C:\WINDOWS\Temp\2ad74e9e.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\слава\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
Пролечитесь утилитами AVPTool и/или CureIT. Скачайте их, отключитесь от сети, сделайте сканирование системного диска.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\appmgmt.dll - Worm.Win32.Qvod.yx ( DrWEB: Trojan.Hostar, BitDefender: Trojan.Agent.APUU, AVAST4: Win32:AutoRun-BKW [Wrm] )
- c:\windows\system32\drivers\63a44d37.sys - Rootkit.Win32.Agent.bhvc ( DrWEB: Trojan.NtRootKit.8765, BitDefender: Rootkit.37308, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\68ff236b.sys - Rootkit.Win32.Agent.bhta ( DrWEB: Trojan.NtRootKit.8765, BitDefender: Trojan.Agent.APUU, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\6to4.dll - Worm.Win32.Qvod.yx ( DrWEB: Trojan.Hostar, BitDefender: Trojan.Agent.APUU, AVAST4: Win32:AutoRun-BKW [Wrm] )
- c:\windows\temp\7a3c067d.tmp - Worm.Win32.Qvod.aio ( DrWEB: Trojan.NtRootKit.8765, AVAST4: Win32:AutoRun-BKW [Wrm] )
-