Не запускается антивирус Касперского 6

Printable View

16.08.2010, 13:16
virusOK

Не запускается антивирус Касперского 6

Банальная ситуация не запускается Каспреский 6.0.3. Помогите пожалуйста.
16.08.2010, 13:44
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\qgs.exe','');
QuarantineFile('D:\QGS.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\QGS.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\drivers\BGS.sys','');
QuarantineFile('c:\windows\system32\wuauolts.exe','');
TerminateProcessByName('c:\windows\system32\wuauolts.exe');
DeleteFile('c:\windows\system32\wuauolts.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\QGS.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\QGS.exe');
DeleteFile('C:\qgs.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
16.08.2010, 14:57
virusOK

[B]polword[/B], спасибо большое, помогло !!! Но странно после выполнения скрипта после перезагрузки появился каспер попросил настройки как при установке и перезагрузку, я перезагрузил и он опять ушел в оут, я опять сделал это скрипт и он появился, но не просил настройки. Как будто создается какой-то файл блокируя касперского. Эта не из-за wuauolts.exe - что за файл такой интересный!

Карантин Файл сохранён как 100816_145631_quarantine_4c69195fcaead.zip
16.08.2010, 15:07
polword

поищите файл C:\WINDOWS\system32\drivers\BGS.sys, если найдете заархивируйте его в zip архив с паролем - [COLOR="Red"]virus[/COLOR] и пришлите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\qgs.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"][B]MBAM[/B][/URL]
17.08.2010, 09:38
virusOK

касперский заработал после 1 скрипта проверил на вирусы потом перезагрузил и он опять упал сделал скрипт 2. Файл BGS.sys не нашел
17.08.2010, 09:51
polword

1.[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DSMain.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\alogserv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avsynmgr.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccregvfy.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fyfirewall.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavplus.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpopmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatchui.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npfmntor.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtimer.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsmain.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstray.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rtvscan.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxtray.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanfrm.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\trojdie.kxp (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vptray.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vshwin32.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsstat.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webscanx.exe (Security.Hijack) -> No action taken.

Зараженные параметры в реестре:
HKEY_CLASSES_ROOT\exefile\nevershowext (Trojan.Autorun) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Зараженные файлы:
D:\System Volume Information\_restore{64BD6BE2-BF28-4A52-AAFE-36F0E905888C}\RP38\A0022082.exe (Trojan.Agent) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164931.exe (Trojan.Crax) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164932.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164941.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164951.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164974.EXE (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164995.exe (Trojan.Dropper) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164997.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0165058.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0165029.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167263.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167272.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167281.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167304.EXE (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167324.exe (Trojan.Dropper) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167326.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167262.exe (Trojan.Crax) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167363.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167388.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179009.exe (Trojan.Crax) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179010.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179019.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179028.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179051.EXE (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179071.exe (Trojan.Dropper) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179073.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179134.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179105.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191015.exe (Trojan.Crax) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191016.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191025.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191034.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191057.EXE (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191077.exe (Trojan.Dropper) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191079.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191111.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191140.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192015.exe (Trojan.Crax) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192016.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192025.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192034.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192057.EXE (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192077.exe (Trojan.Dropper) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192079.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192116.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192142.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193518.exe (Trojan.Crax) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193519.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193536.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193545.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193568.EXE (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193588.exe (Trojan.Dropper) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193590.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193612.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202924.exe (Trojan.Crax) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202925.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202934.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202943.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202966.EXE (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202986.exe (Trojan.Dropper) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202988.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0203020.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0203049.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206372.exe (Trojan.Crax) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206373.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206395.EXE (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206428.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206440.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206629.exe (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206770.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0207427.exe (Trojan.Dropper) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0207453.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0208248.exe (Trojan.Downloader) -> No action taken.
[/CODE]

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.lnk','');
TerminateProcessByName('c:\windows\system32\wuauolts.exe');
DeleteFile('c:\windows\system32\wuauolts.exe');
DeleteFile('c:\windows\system32\.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\qgs.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [URL="http://virusinfo.info/showthread.php?t=53070"][B]MBAM[/B][/URL]
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
17.08.2010, 14:29
virusOK

удалил то что сказали в MBAM после перезагрузки появился в начале в трее потом быстро исчез после того, как я на него навел стрелкой )) Сделал скрипт появился. Делаю лог MBAM

Карантин Файл сохранён как 100817_142148_quarantine_4c6a62bc3dd76.zip
17.08.2010, 14:37
polword

[QUOTE]Восстановление системы: включено
[/QUOTE]
будем лечиться еще долго......

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\mosss.exe','');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\qgs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
17.08.2010, 15:05
virusOK

не может быть я убрал галочку
17.08.2010, 16:29
virusOK

что то C:\qgs.exe не как не хочет удаляться

Карантин Файл сохранён как 100817_162514_quarantine_4c6a7faa1691a.zip

а восстановление отключено могу скрин сделать если хотите
17.08.2010, 17:29
polword

1.[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DSMain.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\alogserv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avsynmgr.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccregvfy.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fyfirewall.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavplus.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpopmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatchui.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npfmntor.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtimer.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsmain.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstray.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rtvscan.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxtray.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanfrm.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\trojdie.kxp (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vptray.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vshwin32.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsstat.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webscanx.exe (Security.Hijack) -> No action taken.

Зараженные параметры в реестре:
HKEY_CLASSES_ROOT\exefile\nevershowext (Trojan.Autorun) -> No action taken.
[/CODE]

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('aec');
TerminateProcessByName('c:\windows\system32\wuauolts.exe');
DeleteFile('c:\windows\system32\wuauolts.exe');
DeleteFile('C:\WINDOWS\system32\drivers\BGS.sys');
DeleteFile('C:\WINDOWS\system32\.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\qgs.exe');
DeleteFile('C:\Program Files\mosss.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([B]virusinfo_syscheck.zip[/B]; [B]hijackthis.log[/B])
18.08.2010, 17:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Trojan.Win32.AutoRun.wn[/B] ( BitDefender: Trojan.Autorun.AEX, NOD32: Win32/AutoRun.Agent.TP worm, AVAST4: VBS:Malware-gen )[*] c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\.lnk - [B]Trojan.WinLNK.Agent.ab[/B][*] c:\\program files\\mosss.exe - [B]Trojan.Win32.Agent.dbua[/B] ( DrWEB: Win32.HLLW.Autoruner.26160, BitDefender: Trojan.Generic.4723073, AVAST4: Win32:AutoRun-BPC [Wrm] )[*] c:\\qgs.exe - [B]Trojan.Win32.Agent.dbua[/B] ( DrWEB: Win32.HLLW.Autoruner.26160, BitDefender: Trojan.Generic.4723073, AVAST4: Win32:AutoRun-BPC [Wrm] )[*] c:\\windows\\system32\\.dll - [B]not-a-virus:Monitor.Win32.ActualSpy.27[/B] ( DrWEB: Trojan.PWS.Qqpass.2371, BitDefender: Trojan.Generic.511425, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\system32\\wuauolts.exe - [B]Trojan.Win32.Agent.dbua[/B] ( DrWEB: Win32.HLLW.Autoruner.26160, BitDefender: Trojan.Generic.4723073, AVAST4: Win32:AutoRun-BPC [Wrm] )[*] d:\\autorun.inf - [B]Trojan.Win32.AutoRun.wn[/B] ( BitDefender: Trojan.Autorun.AEX, NOD32: Win32/AutoRun.Agent.TP worm, AVAST4: VBS:Malware-gen )[*] d:\\qgs.exe - [B]Trojan.Win32.Agent.dbua[/B] ( DrWEB: Win32.HLLW.Autoruner.26160, BitDefender: Trojan.Generic.4723073, AVAST4: Win32:AutoRun-BPC [Wrm] )[/LIST][/LIST]