Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Что-то убивает касперского (любой avp.exe) (заявка № 92297)

  1. #1
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25

    Question Что-то убивает касперского (любой avp.exe)

    Заметил что у меня постоянно умирал avp.exe и сразу же перезапускался системой. Это не краш, ничего, каспера переставил, все так же.
    Потом переименовал обычную програмульку в avp.exe и запустил - упало.
    Очевидно, что-то убивает все процессы с именем avp.exe

    Что это?

    Логи прилагаю. Каспера снес, все равно он ничего не ищет и даже запуститься не может. AVP tool и CureIt! ничего не нашли.

    Непереименованный HijackThis крашится в момент сбора данных.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Пуск - Regedit
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    avp.exe присутствует?

  4. #3
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    Нет, не присутствует.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585

  6. #5
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    Пожалуйста.
    Меня смущает adatadrv.sys, я его проверил:
    http://www.virustotal.com/file-scan/...1f2-1290710665
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\Windows\system32\DRIVERS\adatadrv.sys','');
    BC_Importquarantinelist;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

  8. #7
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    AVZ у меня падает при выполнении такого скрипта. Версия последняя, базы обновлены. Пробывал его переименовывать.
    Problem signature:
    Problem Event Name: APPCRASH
    Application Name: proverka.cmd
    Application Version: 4.35.0.1
    Application Timestamp: 2a425e19
    Fault Module Name: advapi32.dll
    Fault Module Version: 6.1.7600.16385
    Fault Module Timestamp: 4a5bd97e
    Exception Code: c0000096
    Exception Offset: 00022a53
    OS Version: 6.1.7600.2.0.0.256.1
    Locale ID: 1033
    Additional Information 1: c396
    Additional Information 2: c396f6d0bf25ca718fa81ec7f959a449
    Additional Information 3: c396
    Additional Information 4: c396f6d0bf25ca718fa81ec7f959a449


    Попробую в безопасном режиме

  9. #8
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    В безопасном режиме программа так же вылетает.
    Останваливается в момент как на скриншоте и закрывается. Переименовывавть в kjsldkf.com пробовал - тот же эффект.
    Изображения Изображения
    • Тип файла: png virus.png (104.4 Кб, 19 просмотров)

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Попробуем так. В AVZ выполните скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Windows\system32\DRIVERS\adatadrv.sys','');
    BC_QrFile('C:\Windows\system32\DRIVERS\adatadrv.sys');
    BC_ImportAll;
    BC_Execute;
    SetAVZGuardStatus(false);
    end.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
    Paula rhei.
    Поддержать проект можно тут

  11. #10
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    Результат загрузки
    Файл сохранён как 101126_163006_virus_4cefb65ed253e.zip
    Размер файла 726585
    MD5 d57646fc0eca7b0d539ed051d2851bf0

  12. #11
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    Файл не залился? Или у меня сложный случай?

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Сделайте лог ComboFix

  14. #13
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    Вот.

    Не знаю зачем он мне кое-что снес, я его не просил.... C:\Qoobox он не создал, ну да фиг с ним, скачаю еще раз.

    Скажите хоть, какие есть идеи?
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    И тишина =(

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    временно выключите антивирус, firewall и другое защитное программное обеспечение
    Код:
    KillAll:: 
    
    File::
    
    Driver::
    
    Folder::
    c:\windows\system32\1033
    Registry::
    
    FileLook::
    c:\windows\system32\browserchoice.exe
    DirLook::
    c:\users\Dragon31337\.p4ob
    c:\users\Dragon31337\.p4admin
    c:\users\Dragon31337\.p4qt
    RegLock::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

  17. #16
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    Это, сразу могу сказать - папки perforceб что-то типа SVN в нихе го конфигурация и ничего больше.
    browserchoice.exe - чист, вот проверка моего файла на свежих АВ:
    http://www.virustotal.com/file-scan/...7d7-1291227596
    единственный файл в C:\Windows\System32\1033\ я тоже проверил - чисто
    http://www.virustotal.com/file-scan/...0c8-1291227835

    Combofix меня как-то не впечатлил, хотя бы скажите что сделает этот скрипт?
    Только скан?

  18. #17
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    Совсем глухо?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
    а это где?

  20. #19
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    Цитата Сообщение от Dragon31337 Посмотреть сообщение
    Combofix меня как-то не впечатлил, хотя бы скажите что сделает этот скрипт?
    Только скан?
    А это где?
    Этот комбофикс уже снес у меня ни в чем неповинный TrashReg, поэтому я хотел бы знать что он бует делать. Не люблю тулзы, кторые без вопросов трут что хотят.
    Вообще я весь лог что должен быть от той программы расписал. Что там за папки и файлы.

  21. #20
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    25
    вот лог
    Вложения Вложения

  • Уважаемый(ая) Dragon31337, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. вирус на Windows7 убивает AVZ
      От kosmoflyko в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.07.2010, 12:20
    2. Вирус убивает .ЕХЕ файлы
      От GAB в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:55
    3. Вирус убивает мой компьютер(((
      От Димон в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:01
    4. Вирус убивает МР3 Хэлп!
      От Svoyak в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.10.2008, 11:20
    5. он убивает все ;-(
      От blondinka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.10.2008, 19:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00463 seconds with 23 queries