Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Не запускается KIS7.0.325 (заявка № 24001)

  1. #1
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    12
    Вес репутации
    37

    Thumbs up Не запускается KIS7.0.325

    Суть дела заключается в следующем. Компьютер нашего главного бухгалтера подключен к локальной сети и постоянно находится в интернете. Подключен через ADSL. Пользователем был временно отключен KIS7.0.325, поскольку он препятствовал отправке на банковский сайт электронных форм платежных поручений. Предположительно в период временного отключения KIS7.0.325 в компьютер проникли вирусы. Возможно это прошло при открытии каких-либо интернет-страниц по предложенным ссылкам.
    Возникшие проблемы:
    1. не запускается KIS7.0.325 и другие антивирусные программы (AVZ, CureIt, HiJackThis);
    2. не работает защищенный режим WINDOWS. При попытке закгрузки в Safe Mode наблюдаем черный экран с мигающим курсором;
    3. не отображаются скрытые файлы и папки;
    4. в трее появился красный кружок с крестом и периодически всплывает сообщение "Your computer is infected";
    Нами были предприняты следующие действия:
    1. отключено восстановление системы;
    2. восстановлен режим Safe Mode;
    3. восстановлено отображение скрытых файлов и папок;
    4. запущены переименованные версии CureIt, HiJackThis (переименован в 345.com), AVZ (переименован в 567.com). Соответствующие логи вложены.
    CureIt обнаружил:
    Trojan.Click.5043 , TrojanProxy.1739 , Tool.ASEye.2
    После перезагрузки проблемы не исчезли и эти вирусы опять восстанавливаются.
    Будем весьма Вам признательны за помощь в разрешении этой проблемы.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    841
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\WIN-XP\Local Settings\Temporary Internet Files\Content.IE5\PN3N1DSE\Install[1].exe','');
     QuarantineFile('C:\Documents and Settings\WIN-XP\Local Settings\Temp\uninst.exe','');
     QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
     QuarantineFile('c:\windows\system32\univrs32.dat','');
     QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\WINDOWS\system32\univrs32.dat','');
     QuarantineFile('c:\windows\system32\braviax.exe','');
     DeleteFile('c:\windows\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\univrs32.dat');
     DeleteFile('C:\WINDOWS\system32\cru629.dat');
     DeleteFile('c:\windows\system32\univrs32.dat');
     DeleteFile('C:\Documents and Settings\WIN-XP\Local Settings\Temp\uninst.exe');
     DeleteFile('C:\Documents and Settings\WIN-XP\Local Settings\Temporary Internet Files\Content.IE5\PN3N1DSE\Install[1].exe');
    BC_ImportALL;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

  4. #3
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    12
    Вес репутации
    37

    результат выполнения скрипта

    Благодарим Вас за оперативное реагирование на нашу проблему. Скрипт загрузили в AVZ, выполнили его, но увы, все осталось по-прежнему. В списке загруженных процессов снова появился файл BRAVIAX.EXE
    Никак эта "липучка" не хочет от нас отстать.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1787
    Делайте новые логи...
    Последний раз редактировалось Гриша; 04.06.2008 в 14:31.

  6. #5
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    12
    Вес репутации
    37

    прикрепляем новые логи

    Приносим извинения за задержку с высылкой логов.
    Выражаем признательность за помощь.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3002
    Пофиксите
    Код:
    O20 - AppInit_DLLs: cru629.dat
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
     QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
     QuarantineFile('C:\WINDOWS\system32\univrs32.dat','');
     QuarantineFile('c:\windows\system32\braviax.exe','');
     DeleteFile('c:\windows\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\univrs32.dat');
     DeleteFile('C:\WINDOWS\system32\cru629.dat');
     DeleteFile('C:\WINDOWS\system32\winivstr.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Закачайте карантин по правилам, повторите логи.
    Последний раз редактировалось Rene-gad; 05.06.2008 в 15:17.

  8. #7
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    12
    Вес репутации
    37

    результат выполнения скрипта

    Благодарим за оперативное реагирование на нашу проблему. Скрипт выполнили. Новые логи прилагаем. 678.com - это переименованный CureIt
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3002
    Вы фиксили? Скрипт прогоняли? Карантин закачали?
    У меня такое чувство, что все осталось, как было
    Системное восстановление у Вас отключено? Если нет - отключите.
    Антивирус отключен? Если нет - отключите.
    Почистите систему (см. ссылку Очистка ПК в моей подписи).
    Повторите Фикс и Скрипт из моего предыдущего сообщения и сделайте новые логи.

  10. #9
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    12
    Вес репутации
    37

    результат выполнения рекомендаций

    Проверили еще раз. Восстановление системы было отключено ранее.
    Выполнили рекомендации по очистке компьютера. Фиксили. Новый скрипт тоже выполнили. Высылаем новые логи и карантин.
    Обратили внимание на одну особенность - в диспетчере задач braviax.exe иногда выводится маленькими буквами, а иногда большими. Имеет ли это какое-нибудь значение?
    При сканировании программой AVZ иногда выводится сообщение Access Violation at address ... При это появляется множество окон с этим сообщением.
    Перезагрузка иногда занимает длительное время, 1-2мин. При этом на эране остается только экранная заставка и больше ничего, а потом происходит перезапуск. А иногда перезагрузка выполняется нормально, быстро.
    Можно ли исключить из сканирования диск D для ускорения процесса?
    P.S. на рабочем столе имеется файл delself.bat
    Вложения Вложения
    Последний раз редактировалось NICK_WWF; 06.06.2008 в 13:47.

  11. #10
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    12
    Вес репутации
    37

    По-прежнему нуждаемся в помощи

    Уважаемые helperы, Вы о нас не забыли? Проблема так пока и не решена, хотя произошли некоторые изменения. Сегодня иногда стал исчезать красный круг с крестом. При этом BRAVIAX.EXE все еще присутствует в списке задач. Причем иногда BRAVIAX.EXE присутствует, а красный круг отсутствует. Иногда наоборот. Иногда оба они присутствуют. Свежие логи прилагаем в прошлом нашем сообщении. К сожалению, очень оперативно отвечать не всегда можем, поскольку компьютер используется бухгалтерией для работы (разумеется, без выхода в интернет).

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1787
    Не хочет он по хорошему уходитьбудем по-плохому

    Скачать-это IceSword.

    Перед запуском переименуйте его например в football.pif,запустите,меню,File,появится аналог проводника,найти:

    Код:
    С:\windows\system32\braviax.exe
    C:\WINDOWS\system32\univrs32.dat
    C:\WINDOWS\system32\cru629.dat
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     DeleteFile('c:\windows\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\univrs32.dat');
     DeleteFile('C:\WINDOWS\system32\cru629.dat');     
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи.

  13. #12
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    12
    Вес репутации
    37

    результат выполнения рекомендации

    Здравствуйте, уважаемый Гриша

    Выполняем все в точности как Вы пишете. В IceSword выбираем меню File , далее выбираем указанные файлы, в правом поле отмечаем синим цветом три указанных файла, кликаем правой кнопкой мыши, затем "Force Delete" и выбираем "да" на предложение о перезагрузке. Из списка выделенные файлы исчезают, однако перезагрузки не происходит. После принудительной перезагрузки они вновь восстанавливаются. Что же делать?

  14. #13
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    12
    Вес репутации
    37

    результат выполнения скрипта

    Выражаем Вам признательность. Есть позитивные тенденции. После выполнения рекомендаций запустился KIS и нашел еще один файл cru625 в папке C/WINDOWS32/
    Прикрепляем последние логи. Что нужно будет сделать дальше?
    Вложения Вложения

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1787
    После того как сделали Force Delete и потвердили вопрос о перезагрузке,ее как таковой не будет,следом нужно выполнять скрипт.

  16. #15
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    12
    Вес репутации
    37

    результат выполнения рекомендаций

    Совершенно верно. Все так и сделали. Самые свежие логи в нашем предыдущем сообщении. Каковы должны быть наши дальнейшие действия.

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1787
    Пофиксить

    Код:
    O20 - AppInit_DLLs: cru629.dat
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\cru629.dat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи с п.10 правил

  18. #17
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    12
    Вес репутации
    37

    результат выполнения рекомендаций

    Выполнили скрипт. В HiJack отсутсвовала указанная Вами строка, поэтому фиксить было нечего. Возможно, когда запустился KIS, он удалил все остатки вирусов. Последние логи прикрепляем.
    Можем ли мы теперь без опасений работать в интернете?
    Вложения Вложения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1502
    Beep.sys -пришлите согласно приложения 2 правил ...

  20. #19
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    12
    Вес репутации
    37

    beep.sys не найден

    AVZ не находит beep.sys
    Видимо он был удален предыдущими скриптами. Зато случайно нашли в папке C:/WINDOWS/ файл braviax.exe
    Может быть удалить его вручную?
    Антивирусное ПО работает нормально. Можно ли выходить в интерент и обновлять KIS?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3002
    Цитата Сообщение от NICK_WWF Посмотреть сообщение
    случайно нашли в папке C:/WINDOWS/ файл braviax.exe Может быть удалить его вручную?
    поместите его в карантин и пришлите по правилам, потом можете его фтопку
    Цитата Сообщение от NICK_WWF Посмотреть сообщение
    Можно ли выходить в интерент и обновлять KIS?
    Системное восстановление отключите и очистите ПК от мусора (см. ссылку в моей подписи. Если будете использовать ClearProg - выберите Удалить все (Remove All).
    Обновите КИС и сделайте полную проверку системы.

  • Уважаемый(ая) NICK_WWF, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Не запускается KIS7
      От Ice в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 07.06.2009, 20:33
    2. Перестал запускаться kis7.0.1.325ru...
      От daimoh в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.04.2009, 08:23
    3. Virtumonde нейтрализовал работу KIS7
      От stranger87 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:30
    4. Вирус Неработает обновление KIS7
      От walery в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.12.2008, 09:06
    5. icq kis7
      От GREET в разделе Межсетевые экраны (firewall)
      Ответов: 7
      Последнее сообщение: 30.03.2008, 21:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01075 seconds with 17 queries