"Нет прав доступа" к антивири. Подозрение на вирус. Хелп.

[Barry]

В общем, захожу в один день в виндоус, а тут на тебе - каспер (KAV7) перестал работать. Более того, он не удаляется и не модифицируется со ссылкой на то, что "нет прав доступа". При попытке вручную запустить в службах - Ошибка 5: Нет доступа.
Вместе с этим пропала стабильность системы - один раз выкинуло из игрового приложения вместе с игрой, второй раз - после перезагрузки из Безопасного режима ползунок "загрузка Windows" завис намертво. Резетнул.
ОС - Windows XP SP3 32bit. Базы каспера постоянно обновлял, фаер виндовской.
В общем, сам я не справлюсь. Надеюсь на вашу помощь.

[V_Bond]

выполните скрипт

Code:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\Client\acdev.sys','');
 QuarantineFile('C:\DOCUME~1\Barry\LOCALS~1\Temp\KAO13.tmp','');
 QuarantineFile('C:\WINDOWS\System32\systool16b.dll','');
 QuarantineFile('c:\windows\system32\svсhоst.exe','');
 DeleteFile('c:\windows\system32\svсhоst.exe');
 DeleteFile('C:\WINDOWS\System32\systool16b.dll');
 DeleteFile('C:\DOCUME~1\Barry\LOCALS~1\Temp\KAO13.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[Barry]

Логи прикрепил, карантин залил.

[Barry]

И да. Так и должно теперь - при включении вылезать ошибка "Не найден svchost.exe" ?

Добавлено через 11 часов 13 минут

Добавлено через 5 часов 20 минут

Ну так что, карантин чистый?

[PavelA]

Профиксить:

Code:

F2 - REG:system.ini: Shell=Explorer.exe svсhоst.exe
F2 - REG:system.ini: UserInit=userinit.exe,svсhоst.exe

Backdoor.Win32.DeAlfa.qv, Trojan-Downloader.Win32.Obfuscated.wif были в карантине.

Добавлено через 1 минуту

Выполнить:

Code:

begin
ExecuteRepair(6);
RebootWindows(true);
end.

После перезагрузки проверить работу а/вируса.

[Barry]

avp.exe - "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет прав доступа к этмоу объекту."
При попытке запуска через службы - "Ошибка 5: Отказано в доступе".
И да, при первой проверке обновленным avz (до этого сделал лог, но решил обновить) - авз завис где-то на "Поиск Trojan.downloader...". Случайность?
По поводу антивируса - всё по прежнему.
Свежие логи:

[PavelA]

Редактором реестра не боитесь пользоваться?

[Barry]

Редактором реестра не боитесь пользоваться?

Не боюсь, но из осторожности и не копаюсь там особо xD Разве-что недавно прошил одну игру под хамач.
А надо?

[PavelA]

В редакторе реестра ищем:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths
Все что касается а/вирусов удаляем.

[Barry]

Проблема, похоже, ухудшается. Сегодня был бсод со ссылкой на ntoskrnl.exe ( nt+9cfb8 ) в дампе (дамп приложить?) и кодом STOP: 0x00000050 (0xCE4E53E8, 0x00000000, 0x80573FB8, 0x00000000). Мб не по адресу, но, погуглив, нашел, что эта ошибка тоже говорит о вирусе.
После этого удалился исполняемый файл Firefox, а процесс svhost грузит ЦП на 50%. В паре с IE зачастую все 100. Сейчас сижу через Оперу, грузящий процесс svchost.exe вырубил вручную.
Логи приложил (и да, я после выполнения всех скриптов здесь, выложил тему со своей проблемой для рекомендаций на другой ресурс, схожий с этим, но имеющий непосредственное отношение к антивирусу. Сейчас выполняю их скрипты. Запрещено ли это, и могут ли последствия различных скриптов консультантов вести к конфликтам в случае чего?)
PavelA Не нашел подпапки "0", плюс никак не пойму, что относится к чему, и что стоит удалять. Вот скрин:
ps Приношу извинения за долгое отсутствие, уезжал. И спасибо за посильную помощь.

[PavelA]

Запрещено ли это, и могут ли последствия различных скриптов консультантов вести к конфликтам в случае чего?

На Ваше усмотрение.

Опять кучка д...ма. Выполнить скрипт:

Code:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('systool16b.dll','');
 QuarantineFile('C:\Program Files\Mars WinCleaner\WinCleaner.exe','');
 QuarantineFile('C:\Program Files\Mars WinCleaner\DelIndex.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 QuarantineFile('C:\Documents and Settings\Barry\Главное меню\Программы\Автозагрузка\wwwpos32.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\yzykru.sys','');
 DeleteFile('C:\Documents and Settings\Barry\Главное меню\Программы\Автозагрузка\wwwpos32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин по ПРавилам.
Сделать лог Гмер.
Логи повторить заново.

[Barry]

Gmer сканил часа 4, наверное - в начале и в конце выдал - "WARNING! Gmer has found system modification caused by ROOTKIT activity".
Логи приложил. Карантин выслал.

[PavelA]

Придется подождать. У меня что-то результаты карантина не отображаются.

[Barry]

Я карантин днем заливал. Может поэтому не видно. Потому-как, пытаясь повторно залить, пишет, что уже залито.

[PavelA]

:\Documents and Settings\Barry\Главное меню\Программы\Автозагрузка\wwwpos32.exe -- Net-Worm.Win32.Koobface.dda по касперскому.

Все остальное -только на одного подозрения.

Для продолжения лечения скрипт напишу через пару часиков.

[Barry]

Для полноты информации, скажу - вчера, и сегодня (трижды) при включении выскочил Бсод. Т.к. я уходил афк, то может быть это было через какой-то промежуток на странице Log On'а(на компьютере 3 пользователя), сегодня первый раз было так же, второй сразу же после прогрузки ползунка "загрузка Windows". В третий раз просто зависло на начале прогрузки этого самого ползунка... Успешно загрузилось после выбора опции "загрузка с работоспособными параметрами.."
Код ошибки - до этого был Page_fault_in (как описывал в посте №6, короче).
Сегодня дважды выскочил Driver_IRQL_Not_Less_or_equal со ссылкой на какой-то ACPI.sys. Дампы приложить?
И да. Сейчас попробую прогнать себя через KAV rescuecd. В общем, спасибо, что держите руку на пульсе)

[PavelA]

выполнить (копировать аккуратно ):

Code:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
BC_ServiceKill('yzykru',false);
BC_Activate;
RebootWindows(true);
end.

Лог Гмера повторить

[Barry]

Всё сделал. Кстати, до выполнения Вашего скрипта, прогонял KAV rescuecd, он выявил руткит.win32.abmh, файлик yzykru.sys. Перед тем, как его удалить, скопировал в карантин в переименованном архиве. Его выслать?
Лог гмера прилагаю.

[PavelA]

Да, присылай через красную ссылку.

То,что я видел в логах, удалил (СПС моим коллегам за скрипт).

Далее путь будет таким:
Скрипты AVZ повторите и логи пришдите.

[Barry]

Павел, не совсем понял, какие именно скрипты avz повторить, или речь идёт о логах?
Карантин я выслал, логи свежак.