не работает Каспеский

Printable View

07.10.2010, 20:31
tigr62

не работает Каспеский

постоянно вылетала ошибка [B]services.exe[/B] после её закрытия выбрасывалось окно о перезгрузке через 50 сек и комп перезагружался.

Касперский объявляет - [B]повреждены сигнатуры[/B]. После чистки ДрВеб вроде заработало обновление в Касперском сейчас пытаюсь обновить базы. Частично он работает, потому что в данный момент объявил, что обнаружен троян в папке [B]Темп [/B] в [B]ДокумэндСетинг[/B]
07.10.2010, 20:44
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\nwcwks.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
07.10.2010, 21:29
tigr62

[QUOTE=Olejah;717388]Закройте все программы
Отключите

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.[/QUOTE]
Каспер ругается [B]services.exe [/B]
Файл [B]rasadhlp.dll[/B] в папке [B]C:\Program Files\Internet Explorer\[/B] Каспер удалил. Так же был удален файл в директории [B]Оперы[/B]
07.10.2010, 21:31
olejah

[QUOTE='Olejah;717388']Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол[/QUOTE] Это было проигнорировано?
07.10.2010, 21:43
tigr62

[QUOTE=Olejah;717437]Это было проигнорировано?[/QUOTE]

перед выполнением Вашего скрипта выгрузил всё, отключил Интернет ,отключил защиту Каспера (он тормозит и может быть он не вырубил обновление)

После выполнения Вашего скрипта, перед выполнением Стандартного скрипта, я всё включил, не включал защиту Касперского. А Интернет оставил подключенным.
Повторить с отлюченным Интернетом?
07.10.2010, 21:53
olejah

Давайте сконцентрируемся на более важном, файл - [B]C:\WINDOWS\system32\Drivers\NDIS.sys[/B] - необходимо заменить чистым с [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива.[/URL]
07.10.2010, 22:26
tigr62

[QUOTE=Olejah;717454]Давайте сконцентрируемся на более важном, файл - [B]C:\WINDOWS\system32\Drivers\NDIS.sys[/B] - необходимо заменить чистым с [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива.[/URL][/QUOTE]
Заменил с помощью [B]Лайф_СД[/B].
07.10.2010, 22:42
olejah

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
07.10.2010, 22:45
tigr62

Касперский обновился и восстановил все функции.
07.10.2010, 22:53
olejah

Кто бы сомневался, но нужно добить, если что осталось.
07.10.2010, 23:45
tigr62

[QUOTE=Olejah;717484]Кто бы сомневался, но нужно добить, если что осталось.[/QUOTE]
Спасибо!
Лог в указанной папке не нашел. Поэтому сохранил отчет в ручную
08.10.2010, 01:41
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url]
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MS Essentials (Malware.Trace) -> No action taken.

Зараженные файлы:
C:\avz4\Infected\2010-10-07\avz00001.dta (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\toeeap.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\yjsagnr.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Outlook Express\rasadhlp.dll (Spyware.Passwords) -> No action taken.
C:\WINDOWS\inf\vvt.pnf (Malware.Trace) -> No action taken.[/CODE]
08.10.2010, 08:54
tigr62

[QUOTE=thyrex;717561][URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[/QUOTE]
Удалил.

Случайно удалил [QUOTE]Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0)[/QUOTE]
Восстановил
08.10.2010, 09:15
olejah

Что с проблемой?
08.10.2010, 11:31
tigr62

[QUOTE=Olejah;717609]Что с проблемой?[/QUOTE]
Никаких проблем! Спасибо!
08.10.2010, 11:36
olejah

Рекомендуется

- Установить все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установить [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
09.10.2010, 11:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ndis.sys - [B]Virus.Win32.Protector.f[/B] ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )[/LIST][/LIST]