Не запускается AVP. Вероятно заражение.

[AlexUseAVP]

При очередной перезагрузке компьютера, перестал загружаться AVP.
Переименовать avp.exe не удается. Нет доступа. Так-же не запускается regedit.
Восстанавливал, удалял и устанавливал AVP. Ничего. avz.exe тож запускается только после переименования.

Сделал все по Правилам лечения

Вот лог:
avptool_syscheck.zip

Вот то, что было изображено во время проверки.
othet.txt

Вот протокол AVZ
avz_log.txt

Помогите пожалуйста.

[AlexUseAVP]

Да, параллельно. Не так существенно, но все-же.
После установки KAV 2009 компьютер при выключении/перезагрузке не выключеется/перегружается, а выпадает в синий экран. При удалении KAV 2009, все возвращается на свои места. Как побороть?

[AndreyKa]

Закройте все программы.
Выполните в AVPTool скрипт:

Код:

begin
SetAVZGuardStatus(True);
 SetAVZPMStatus(True);
 QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
 BC_DeleteSvc('ethxegii');
 QuarantineFile('C:\WINDOWS\system32\drivers\ethxegii.sys','');
 CreateQurantineArchive('C:\quarantine.zip');
 DeleteFile('C:\WINDOWS\system32\drivers\ethxegii.sys');
 DeleteFile('C:\WINDOWS\system32\digiwet.dll');
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Загрузите файл C:\quarantine.zip, используя ссылку Прислать запрошенный карантин верху этой темы.
Сделайте новый файл исследования системы.

Что на синем экране написано?

[AlexUseAVP]

Результат загрузки
Файл сохранён как 090525_134151_quarantine_4a1a67df713bf.zip
Размер файла 130638
MD5 696e8fd43d6255c63a67020c4448481c

Файл закачан, спасибо!

======================================

А в синий при при выключении/перезагрузке выпадает система с таким сообщением:

IRQL_NOT_LESS_OR_EQUAL

bla-bla

Technical information
xxx STOP:
0x0000000A (0x000000B0, 0x00000002, 0x00000000, 0x804EE381)

[Rene-gad]

А в синий при при выключении/перезагрузке выпадает система с таким сообщением:
IRQL_NOT_LESS_OR_EQUAL
Technical information
xxx STOP:
0x0000000A (0x000000B0, 0x00000002, 0x00000000, 0x804EE381)

Тут почитайте: http://support.microsoft.com/?scid=k...14063&x=6&y=14
И сделайте повторные логи.

[AlexUseAVP]

Новые файлы сбора инфо:

Лог:
avptool_syscheck.zip

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
 QuarantineFile('digiwet.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\9c25de21.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\9c25de21.sys');
 DeleteFile('digiwet.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторный лог
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите лог к новому сообщению.

[AlexUseAVP]

Тут почитайте: http://support.microsoft.com/?scid=k...14063&x=6&y=14
И сделайте повторные логи.

Почитал. Цитата:
Проверка программного обеспечения независимых производителей
Если в системе установлены драйверы или приложения независимых производителей, попробуйте удалить их или отменить автоматическую загрузку, чтобы проверить, не являются ли они причиной возникновения ошибки. Если проблема вызвана программным обеспечением или драйвером, сообщите об этом соответствующему производителю.

Удаляю AVP - все проходит. Вот я и сообщаю соответствующему производителю.

[PavelA]

Мы - не производители а/вируса. Производитель живет на kaspersky.com

[AlexUseAVP]

Мы - не производители а/вируса. Производитель живет на kaspersky.com

Т.е. с синим экраном вы мне помочь не сможете?
Обращаться на Майкрософт и к Касперскому?

[Rene-gad]

Обращаться на Майкрософт и к Касперскому?

А Necrosoft - то тут причем? Техподдержка Касперского. Может у Вас старый антивирус не до конца удален, может несовместимость с чем-то: http://support.kaspersky.ru/kis2009/...?qid=208636021

[AlexUseAVP]

А Necrosoft - то тут причем? Техподдержка Касперского. Может у Вас старый антивирус не до конца удален, может несовместимость с чем-то: http://support.kaspersky.ru/kis2009/...?qid=208636021

Забудьте. Я потерплю синий.
Слишком много менингиту.

[AlexUseAVP]

- Удалите Bonjour
*** удалил
- Очистите темп-папки, кэш проводников и корзину.
*** очистил всеми способами
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
*** файрвол был остановлен мною на днях. Закрыть антивир не могу. Он за запускается. По крайней мере не виден. Закрыл все, включая то, что в трее.
- Сделайте повторный лог
*** Вот лог avptool_syscheck.zip
- Включите Антвирус и Файрволл
*** антивир не запускается. Файрвол так-же. Принудительно запускаю из служб - ошибка 5. Отказано в доступе
- Подключите ПК к интернету/локалке
*** есть
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
*** есть
- Прикрепите лог к новому сообщению.

[PavelA]

ethxegii.sys - Backdoor.Win32.IEbooot.coq свежий, был удален.
Посмотрел логи, там видны еще кучка проблем. Кое-что поправим скриптом, но кое-что придется править руками в реестре.

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
 QuarantineFile('C:\temp\cportclm.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\9c25de21.sys','');
 DeleteService('9c25de21');
 DeleteFile('C:\WINDOWS\System32\drivers\9c25de21.sys');
 ExecuteRepair(9);
 ExecuteRepair(6);
 ExecuteRepair(8);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам.

[AlexUseAVP]

ethxegii.sys - Backdoor.Win32.IEbooot.coq свежий, был удален.

Лучше подскажите, что делать дальше. =)
Антивир не запускается. Файрвол тож.

Переустановить антивир? А что с файрволом?

Добавлено через 2 минуты

По прежнему где-то сидит перехватчик. AVP.EXE не запкскается ни при каких условиях. AVZ.EXE запускается только после переименования.

===

Сорри, я опережаю события.

[AlexUseAVP]

Карантин сделал - высылаю

Новый лог вот: avptool_syscheck.zip

Появилась новая "красота". Комп теперь при перезагрузке/выключении не выпадает в синий, а просто с экрана пропадает ВСЕ, остается только фоновая картинка с активной мышкой. И молчит как партизан. На три магические клавиши не реагирует.

[PavelA]

Выполнить:

Код:

begin
 BC_DeleteSvc('Ip6Fw');
 BC_DeleteSvc('Cpqarray');
 ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

Повторить логи.

З.Ы. 9-я таблетка не хочет срабатывать. Обидно..

[AlexUseAVP]

Сделал. Вот лог: avptool_syscheck.zip

Загрузить карантин не получается.

Пишет:
===============
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
===============

Вероятно просто без изменений.

[Rene-gad]

Скачайте special avz в моей подписи. Сохраните его на диске в новой папке, логи и карантин ищите там же в соотв. подпапках.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\a6ck3cyl.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\a6ck3cyl.SYS');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный логи special avz + hijackthis, как написано в правилах.

[PavelA]

по вот этой теме надо полечить реестр: http://virusinfo.info/showthread.php?t=43700
Для вот этих служб: wuauserv BITS