Что-то убивает касперского (любой avp.exe)

**Dragon31337** · 23.11.2010, 20:24

Заметил что у меня постоянно умирал avp.exe и сразу же перезапускался системой. Это не краш, ничего, каспера переставил, все так же.
Потом переименовал обычную програмульку в avp.exe и запустил - упало.
Очевидно, что-то убивает все процессы с именем avp.exe

Что это?

Логи прилагаю. Каспера снес, все равно он ничего не ищет и даже запуститься не может. AVP tool и CureIt! ничего не нашли.

Непереименованный HijackThis крашится в момент сбора данных.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**light59** · 24.11.2010, 12:09

Пуск - Regedit

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

avp.exe присутствует?

**Dragon31337** · 24.11.2010, 12:50

Нет, не присутствует.

**light59** · 24.11.2010, 18:39

Выполните http://virusinfo.info/showthread.php?t=53070

**Dragon31337** · 25.11.2010, 23:34

Пожалуйста.
Меня смущает adatadrv.sys, я его проверил:
http://www.virustotal.com/file-scan/...1f2-1290710665

**light59** · 26.11.2010, 10:17

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
 QuarantineFile('C:\Windows\system32\DRIVERS\adatadrv.sys','');
BC_Importquarantinelist;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

**Dragon31337** · 26.11.2010, 13:26

AVZ у меня падает при выполнении такого скрипта. Версия последняя, базы обновлены. Пробывал его переименовывать.
Problem signature:
Problem Event Name: APPCRASH
Application Name: proverka.cmd
Application Version: 4.35.0.1
Application Timestamp: 2a425e19
Fault Module Name: advapi32.dll
Fault Module Version: 6.1.7600.16385
Fault Module Timestamp: 4a5bd97e
Exception Code: c0000096
Exception Offset: 00022a53
OS Version: 6.1.7600.2.0.0.256.1
Locale ID: 1033
Additional Information 1: c396
Additional Information 2: c396f6d0bf25ca718fa81ec7f959a449
Additional Information 3: c396
Additional Information 4: c396f6d0bf25ca718fa81ec7f959a449

Попробую в безопасном режиме

**Dragon31337** · 26.11.2010, 13:52

В безопасном режиме программа так же вылетает.
Останваливается в момент как на скриншоте и закрывается. Переименовывавть в kjsldkf.com пробовал - тот же эффект.

**миднайт** · 26.11.2010, 15:05

Попробуем так. В AVZ выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\Windows\system32\DRIVERS\adatadrv.sys','');
BC_QrFile('C:\Windows\system32\DRIVERS\adatadrv.sys');
BC_ImportAll;
BC_Execute;
SetAVZGuardStatus(false);
end.

Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

**Dragon31337** · 26.11.2010, 16:30

Результат загрузки
Файл сохранён как 101126_163006_virus_4cefb65ed253e.zip
Размер файла 726585
MD5 d57646fc0eca7b0d539ed051d2851bf0

**Dragon31337** · 28.11.2010, 09:11

Файл не залился? Или у меня сложный случай?

**snifer67** · 28.11.2010, 13:01

Сделайте лог ComboFix

**Dragon31337** · 29.11.2010, 00:32

Вот.

Не знаю зачем он мне кое-что снес, я его не просил.... C:\Qoobox он не создал, ну да фиг с ним, скачаю еще раз.

Скажите хоть, какие есть идеи?

**Dragon31337** · 01.12.2010, 15:02

И тишина =(

**snifer67** · 01.12.2010, 17:30

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

KillAll:: 

File::

Driver::

Folder::
c:\windows\system32\1033
Registry::

FileLook::
c:\windows\system32\browserchoice.exe
DirLook::
c:\users\Dragon31337\.p4ob
c:\users\Dragon31337\.p4admin
c:\users\Dragon31337\.p4qt
RegLock::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

**Dragon31337** · 01.12.2010, 21:25

Это, сразу могу сказать - папки perforceб что-то типа SVN в нихе го конфигурация и ничего больше.
browserchoice.exe - чист, вот проверка моего файла на свежих АВ:
http://www.virustotal.com/file-scan/...7d7-1291227596
единственный файл в C:\Windows\System32\1033\ я тоже проверил - чисто
http://www.virustotal.com/file-scan/...0c8-1291227835

Combofix меня как-то не впечатлил, хотя бы скажите что сделает этот скрипт?
Только скан?

**Dragon31337** · 06.12.2010, 08:31

Совсем глухо?

**polword** · 07.12.2010, 06:45

Сообщение от snifer67

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

а это где?

**Dragon31337** · 07.12.2010, 11:34

Сообщение от Dragon31337

Combofix меня как-то не впечатлил, хотя бы скажите что сделает этот скрипт?
Только скан?

А это где?
Этот комбофикс уже снес у меня ни в чем неповинный TrashReg, поэтому я хотел бы знать что он бует делать. Не люблю тулзы, кторые без вопросов трут что хотят.
Вообще я весь лог что должен быть от той программы расписал. Что там за папки и файлы.