Добрый день!
Касперский ругается на наличие вирусов. Но включить защиту не получается - сбой операции... При полной проверке дисков ПК перегружается.
Вот логи.
Printable View
Добрый день!
Касперский ругается на наличие вирусов. Но включить защиту не получается - сбой операции... При полной проверке дисков ПК перегружается.
Вот логи.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('msupdate');
StopService('poof');
StopService('kprof');
QuarantineFile('C:\WINDOWS\system32\poof.sys','');
QuarantineFile('C:\WINDOWS\system32\kprof.sys','');
QuarantineFile('C:\WINDOWS\system32\eTCrtMng.exe','');
QuarantineFile('C:\WINDOWS\system32\cpssp.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\win32.exe','');
QuarantineFile('C:\Documents and Settings\User\desktop.exe','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('C:\WINDOWS\system32\strike12.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('c:\docume~1\user\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\Documents and Settings\User\desktop.exe');
DeleteFile('C:\WINDOWS\System32\drivers\win32.exe');
DeleteFile('C:\WINDOWS\system32\kprof.sys');
DeleteFile('C:\WINDOWS\system32\poof.sys');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин по [URL="http://virusinfo.info/upload_virus.php?tid=15990"]этой[/URL] ссылке. Повторите логи.
Вот новые логи...
Карантин загрузил:
Файл сохранён как 080105_050424_virus_477f6438b37c2.zip
Размер файла 174090
MD5 cb7731b7ae834356691c19f3049d84aa
Пофиксите в HijackThis:
[code]
O2 - BHO: Google Module - {B87D203B-B43D-4af9-9E1B-9C20478CBB74} - strike12.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\poof','');
QuarantineFile('C:\WINDOWS\system32\kprof','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bpb42.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Erk55.sys','');
DeleteFile('C:\WINDOWS\system32\strike12.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Erk55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bpb42.sys');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\poof');
DelBHO('{B87D203B-B43D-4af9-9E1B-9C20478CBB74}');
BC_ImportALL;
BC_QrSvc('Nscbtd');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
Обновите базы AVZ и сделайте новые логи.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
А вот, если интересно, что было в первом карантине:
vhosts.exe - [b]Trojan-Downloader.Win32.Dirat.aw[/b]
strike12.dll - [b]Trojan-Spy.Win32.Banker.hes[/b]
partnership.dll - [b]Trojan-Proxy.Win32.Xorpix.ck[/b]
[i]псевдо[/i]-winlogon.exe - [b]Trojan-Proxy.Win32.Agent.vl[/b]
Всё сделал как написали выше - пофиксил строки в HiJack, выполнил скрипт. После этого КАВ заработал. Проверка на диске С: нашла кучу вирусов. Но после перезагрузки КАВ снова ругнулся на вирус в winlogon.exe. Лечить не хочет - предлагает только удаление. Да и комп живёт своей жизнью - периодически идёт обращение к флопповоду, в КАВ опять половина модулей отрубилась... :(
Новый карантин выслал:
Файл сохранён как 080105_171145_virus_47800eb1e3f42.zip
Размер файла 611108
MD5 a62a4ad8f9eb77bc6e68e5b196f84aaa
Поищите через AVZ файлы
Nscbtd.sys
Закарантиньте и пришлите...
Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('C:\WINDOWS\System32\Drivers\Erk55.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Erk55.sys');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('Erk55');
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите лог virusinfo_syscheck
Файл Nscbtd.sys найти не удаётся.
Касперскй по прежнему ругается на Trojan-Proxy.Win32.Wopla.as в файле winlogon.exe
выполните скрипт ....
[code]
begin
BC_DeleteSvc('Nscbtd');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите по правилам файл на который ругается антивирус ...
Выполните скрипт в AVZ:
[code]begin
ClearQuarantine;
BC_QrSvc('NdisWon');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('Nscbtd');
BC_Activate;
RebootWindows(true);
end.[/code]
Если карантин будет не пуст - пришлите по правилам.
[quote]Касперскй по прежнему ругается на Trojan-Proxy.Win32.Wopla.as в файле winlogon.exe[/quote]
Именно на [b]C:\WINDOWS\system32\winlogon.exe[/b]? Судя по логам AVZ, он проходит по базе безопасных. Можете проверить его на [url]www.virustotal.com[/url]. Если же путь другой - удаляйте смело.
Отправил файл на [url]www.virustotal.com[/url]. CAT-QuickHeal нашёл в нём Trojan.Patched.m
Касперского удалил нафик. Сейчас сделаю новые логи.
А другие ничего не нашли?
А Trojan.Patched.m кстати Касперский прекрасно лечит.
Если конечно базы не прошлогодние.
Другие ничего не нашли...
Вот новые логи.
в логах чисто ...
Всем огромное спасибо! (Сейчас начну нажимать)
Как думаете, мог весь этот геммор быть из-за Касперского?
Уж кто виноват, но не Касперский ;)
Да, вот карантин какой-то у меня остался...
Выслал.
Файл сохранён как 080106_074758_virus_4780dc0ed73d2.zip
Размер файла 611108
MD5 9efb906f4ec59eb5700464872076e357
Вредоносного в карантине нет
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]