Добрый день!
Касперский ругается на наличие вирусов. Но включить защиту не получается - сбой операции... При полной проверке дисков ПК перегружается.
Вот логи.
Добрый день!
Касперский ругается на наличие вирусов. Но включить защиту не получается - сбой операции... При полной проверке дисков ПК перегружается.
Вот логи.
Последний раз редактировалось Grower; 27.01.2008 в 15:35.
Выполните скрипт в AVZЗагрузите карантин по этой ссылке. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); StopService('msupdate'); StopService('poof'); StopService('kprof'); QuarantineFile('C:\WINDOWS\system32\poof.sys',''); QuarantineFile('C:\WINDOWS\system32\kprof.sys',''); QuarantineFile('C:\WINDOWS\system32\eTCrtMng.exe',''); QuarantineFile('C:\WINDOWS\system32\cpssp.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\win32.exe',''); QuarantineFile('C:\Documents and Settings\User\desktop.exe',''); QuarantineFile('c:\windows\system32\vhosts.exe',''); QuarantineFile('C:\WINDOWS\system32\DefLib.sys',''); QuarantineFile('C:\WINDOWS\system32\strike12.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); QuarantineFile('c:\docume~1\user\locals~1\temp\winlogon.exe',''); DeleteFile('c:\docume~1\user\locals~1\temp\winlogon.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\system32\DefLib.sys'); DeleteFile('c:\windows\system32\vhosts.exe'); DeleteFile('C:\Documents and Settings\User\desktop.exe'); DeleteFile('C:\WINDOWS\System32\drivers\win32.exe'); DeleteFile('C:\WINDOWS\system32\kprof.sys'); DeleteFile('C:\WINDOWS\system32\poof.sys'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Вот новые логи...
Карантин загрузил:
Файл сохранён как 080105_050424_virus_477f6438b37c2.zip
Размер файла 174090
MD5 cb7731b7ae834356691c19f3049d84aa
Последний раз редактировалось Grower; 27.01.2008 в 15:35.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: Google Module - {B87D203B-B43D-4af9-9E1B-9C20478CBB74} - strike12.dll (file missing) O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
После перезагрузки пришлите новый карантин по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\poof',''); QuarantineFile('C:\WINDOWS\system32\kprof',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Bpb42.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Erk55.sys',''); DeleteFile('C:\WINDOWS\system32\strike12.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Erk55.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Bpb42.sys'); DeleteFile('C:\WINDOWS\system32\kprof'); DeleteFile('C:\WINDOWS\system32\poof'); DelBHO('{B87D203B-B43D-4af9-9E1B-9C20478CBB74}'); BC_ImportALL; BC_QrSvc('Nscbtd'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Обновите базы AVZ и сделайте новые логи.
Добавлено через 3 минуты
А вот, если интересно, что было в первом карантине:
vhosts.exe - Trojan-Downloader.Win32.Dirat.aw
strike12.dll - Trojan-Spy.Win32.Banker.hes
partnership.dll - Trojan-Proxy.Win32.Xorpix.ck
псевдо-winlogon.exe - Trojan-Proxy.Win32.Agent.vl
Последний раз редактировалось Bratez; 05.01.2008 в 14:19. Причина: Добавлено
I am not young enough to know everything...
Всё сделал как написали выше - пофиксил строки в HiJack, выполнил скрипт. После этого КАВ заработал. Проверка на диске С: нашла кучу вирусов. Но после перезагрузки КАВ снова ругнулся на вирус в winlogon.exe. Лечить не хочет - предлагает только удаление. Да и комп живёт своей жизнью - периодически идёт обращение к флопповоду, в КАВ опять половина модулей отрубилась...
Новый карантин выслал:
Файл сохранён как 080105_171145_virus_47800eb1e3f42.zip
Размер файла 611108
MD5 a62a4ad8f9eb77bc6e68e5b196f84aaa
Последний раз редактировалось Grower; 27.01.2008 в 15:35.
Поищите через AVZ файлы
Nscbtd.sys
Закарантиньте и пришлите...
Выполните скрипт:
Повторите лог virusinfo_syscheckКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\kprof'); DeleteFile('C:\WINDOWS\system32\poof'); DeleteFile('C:\WINDOWS\System32\Drivers\Erk55.sys'); BC_ImportDeletedList; BC_DeleteFile('C:\WINDOWS\system32\kprof'); BC_DeleteFile('C:\WINDOWS\system32\poof'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Erk55.sys'); BC_DeleteSvc('kprof'); BC_DeleteSvc('poof'); BC_DeleteSvc('Erk55'); BC_Activate; RebootWindows(true); end.
Файл Nscbtd.sys найти не удаётся.
Касперскй по прежнему ругается на Trojan-Proxy.Win32.Wopla.as в файле winlogon.exe
Последний раз редактировалось Grower; 27.01.2008 в 15:35.
выполните скрипт ....
пришлите по правилам файл на который ругается антивирус ...Код:begin BC_DeleteSvc('Nscbtd'); BC_Activate; RebootWindows(true); end.
Выполните скрипт в AVZ:
Если карантин будет не пуст - пришлите по правилам.Код:begin ClearQuarantine; BC_QrSvc('NdisWon'); BC_DeleteSvc('NdisWon'); BC_DeleteSvc('Nscbtd'); BC_Activate; RebootWindows(true); end.
Именно на C:\WINDOWS\system32\winlogon.exe? Судя по логам AVZ, он проходит по базе безопасных. Можете проверить его на www.virustotal.com. Если же путь другой - удаляйте смело.Касперскй по прежнему ругается на Trojan-Proxy.Win32.Wopla.as в файле winlogon.exe
I am not young enough to know everything...
Отправил файл на www.virustotal.com. CAT-QuickHeal нашёл в нём Trojan.Patched.m
Касперского удалил нафик. Сейчас сделаю новые логи.
А другие ничего не нашли?
А Trojan.Patched.m кстати Касперский прекрасно лечит.
Если конечно базы не прошлогодние.
I am not young enough to know everything...
Другие ничего не нашли...
Вот новые логи.
Последний раз редактировалось Grower; 27.01.2008 в 15:35.
в логах чисто ...
Всем огромное спасибо! (Сейчас начну нажимать)
Как думаете, мог весь этот геммор быть из-за Касперского?
Уж кто виноват, но не Касперский
Да, вот карантин какой-то у меня остался...
Выслал.
Файл сохранён как 080106_074758_virus_4780dc0ed73d2.zip
Размер файла 611108
MD5 9efb906f4ec59eb5700464872076e357
Вредоносного в карантине нет
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Grower, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.