Не возможно загрузить AVZ и Касперского

**Newzemlya** · 07.04.2008, 13:46

Доброго дня,
Работал в сети, зашел на солидный сайт и Касперский сразу заверещал. Он героически успел убить трех червей, и потом вырубился.
Переустановка помогла ему заработать. Но проверку он не выполняет, так как считает, что базы повреждены. При этом базы не обновляются. Пишет ошибку.
Также комп не позволяет вообще копировать файлы баз с места на место.

C AVZ еще хуже. Сразу при запуске выдает ошибку запроса. Которая прекращается только если перезагрузить компьютер. А файлы баз не дает распаковывать из архива.
Логи создать невозможно.

В одной теме порекоммендовали использовать утилитку GetSystemInfo. Файл ею созданный прикрепляю.
С чего начать борьбу? Неохота систему полностью перестанавливать...
При атаке были обнаружены следующие гады:
Backdoor.Win32.Kbot.s
Trojan.Win32.Srizbi.j
Trojan-Downloader.Win32.Small.cyn

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 07.04.2008, 13:56

попробуйте выполнить пункт 2 правил ....
затем попробуйте выполнить логи ..
касперский у вас древний. ... свежая версия должна бы справиться с
этой нечистью ...

**Newzemlya** · 07.04.2008, 23:26

Да я запланировал поменять Каспера на 7 версию в мае...
Думал доживу спокойно до этого времени - если максимум буду осторожен. А не получилось

Пункт 2 не помогает.
Он находит вирусы, удаляет. Но они снова появляются. Теперь флешку и сиди можно посмотреть в безопасном режиме. В обычном - он предлагает флешку отфарматировать а сиди просто видит пустым.
AVZ не работает...

Находятся следующие вирус:
BackDoor.HaxDoor.454
BackDoor.HaxDoor.440

Добавляется 6 файлов в папку system32:
ovrscn.sys
ovrscn.dll
ovwscn.sys
qy.sys
qz.dll
qz.sys

Вирус довел потом комп до синего экрана (без моих активных действий!)... Но вроде после перезагрузки wind запустился...
Какие-то сбои с интеренетом стали происходить.
Думаете можно что-то сделать? Или формат диск С?

**V_Bond** · 08.04.2008, 00:04

попробуйте переименовать авз в drt.com

**Newzemlya** · 08.04.2008, 11:46

Я сегодня попробую, но червь не позволяет разархивировать файлы из папки Base и не дает их копировать. AVZ без них cможет запуститься?

**Bratez** · 08.04.2008, 13:45

Я думаю, стоит попробовать способ #1 из этой статьи:
http://virusinfo.info/showthread.php?t=15927

**Newzemlya** · 08.04.2008, 16:29

Я скачал cureit и записал на болванку. Проводил проверку в безопасном режиме с записанного диска. Но всё-равно, вирусы находятся, удаляются и появляются снова.
Даже после чистки AVZ не устанавливается.

**kps** · 08.04.2008, 16:36

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

**V_Bond** · 08.04.2008, 16:41

скачайте и все из списка - force delete

Код:

C:\WINDOWS\system32\ovrscn.dll
C:\WINDOWS\system32\ovrscn.sys
C:\WINDOWS\system32\ovwscn.sys
C:\WINDOWS\system32\qz.dll
C:\WINDOWS\system32\qz.sys
C:\WINDOWS\kernel2.exe
C:\WINDOWS\kernel%32.exe
C:\WINDOWS\kernel .exe
c:\windows\system32\klogini.dll
c:\windows\system32\fltr.a3d
c:\windows\system32\i.a3d
c:\windows\system32\p2.ini
c:\windows\system32\redir.a3d
c:\windows\system32\tnfl.a3d

затем новые логи ...

**Newzemlya** · 08.04.2008, 21:30

При сканировании Gmer'ом комп вылетает. И потом пишет, что была серьезная ошибка при завершении работы.
По Icesword. Я правильно делаю?
В разделе файл я нахожу указанные вами файлы и удаляю их (красный крест около верхнего меню).
программа спрашивает меня уверен ли я с удалением, я говорю да и программа закрывается. все файлы остаются на месте.
Большинство файлов, которые были указаны в списке отсутсвуют.
C:\WINDOWS\kernel2.exe
C:\WINDOWS\kernel%32.exe
C:\WINDOWS\kernel .exe
c:\windows\system32\fltr.a3d
c:\windows\system32\i.a3d
c:\windows\system32\p2.ini => был p3.ini
c:\windows\system32\redir.a3d
c:\windows\system32\tnfl.a3d

Добавлено через 2 минуты

Ступил. Это не тот крест. Прошу прощения.
Тогда можно узнать, как их force delete?

Добавлено через 1 минуту

Нашел force delete.
Буду пытаться..

Добавлено через 2 часа 33 минуты

Спасибо за попытку мне помочь.
К сожалению после того как я удалил файлы, которые были указаны в списке, почему-то винд возмутился. Сказал что некоторые файлы были заменены (я не понял почему) и предложил вставить установочный диск. Я отказался и попробовал запустить gmer. При сканировании компьютер вылетел.
Дальше был только синий экран. Безопасный режим тоже не грузился.
В общем, пришлось форматировать диск и переставлять винд.
Эх... ну да ладно.
Всё равно спасибо, за попытки

**Newzemlya** · 08.04.2008, 22:16

После перестановки нашел подозрительный файл klif.sys
Решил проверить AVZ.
AVZ сообщает что это перехватчик. Касперский (5 версия) и cureit ничего подозрительного не нашли. Тем не менее, может это похоже на паранойю... но я сделал логи.