Показано с 1 по 9 из 9.

Блокируется запуск антивирусов (заявка № 63456)

  1. #1
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    4
    Вес репутации
    53

    Exclamation Блокируется запуск антивирусов

    Здравствуйте,

    Блокируется запуск антивирусов. После переименования их исполняемых файлов, их все-же удается запустить. Таким образом произвел проверку CureIt. Установка kaspersky internet security 2010 также блокируется.
    ОС-windows xp.

    В соответствии с правилами выкладываю отчеты:


    спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    C:\Program Files\Kaspersky Lab\Копия Kaspersky Internet Security 2010\45.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\55.exe
    Пробовали переименовывать?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\Temp\051926.exe','');
     QuarantineFile('C:\WINDOWS\Temp\051158.exe','');
     QuarantineFile('C:\WINDOWS\system32\dllcache\lsasvc.dll','');
     QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.001\Local Settings\Temporary Internet Files\Content.IE5\GPH765SS\158[2].exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.001\Local Settings\Temporary Internet Files\Content.IE5\GPH765SS\158[1].exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.001\Local Settings\Temporary Internet Files\Content.IE5\GPH765SS\155[1].exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.001\Local Settings\Temporary Internet Files\Content.IE5\DBWC5OXC\05[1].exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\rrhfg.sys','');
     DeleteService('abp470n5');
     QuarantineFile('Remote Switch.sys','');
     QuarantineFile('xmlprov.sys','');
     QuarantineFile('C:\Program Files\51Rem\51Rem.exe','');
     DeleteService('Nationalyqc Instruments Domain');
     QuarantineFile('C:\WINDOWS\system32\z\J001.exe','');
     DeleteService('feag');
     QuarantineFile('Cmbuhsrvc.sys','');
     DeleteService('Cmbuhsrvc');
     QuarantineFile('C:\WINDOWS\system32\YXGARD4WJL\D001.exe','');
     DeleteService('bk');
     StopService('te_Server_2008');
     QuarantineFile('C:\WINDOWS\TEMP\NtHid.sys','');
     QuarantineFile('C:\WINDOWS\TEMP\Entor.sys','');
     QuarantineFile('c:\windows\system32\rpcss.dll','');
     QuarantineFile('c:\windows\system32\qmgr.dll','');
     QuarantineFile('c:\windows\system32\ntmssvc.dll','');
     QuarantineFile('C:\WINDOWS\system32\kb91220421.dll','');
     QuarantineFile('C:\WINDOWS\system32\kb8122049.dll','');
     QuarantineFile('C:\WINDOWS\system32\kb41220358.dll','');
     QuarantineFile('C:\WINDOWS\system32\kb181220545.dll','');
     QuarantineFile('C:\WINDOWS\system32\kb01220349.dll','');
     QuarantineFile('C:\WINDOWS\system32\t322023.dll','');
     QuarantineFile('C:\WINDOWS\system32\t329078.dll','');
     QuarantineFile('c:\windows\system32\wmitpfs.dll','');
     QuarantineFile('C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf','');
     QuarantineFile('c:\docume~1\alluse~1.win\drm\upebh.dll','');
     DeleteFile('c:\docume~1\alluse~1.win\drm\upebh.dll');
     DeleteFile('C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf');
     DeleteFile('c:\windows\system32\wmitpfs.dll');
     DeleteFile('C:\WINDOWS\system32\t329078.dll');
     DeleteFile('C:\WINDOWS\system32\t322023.dll');
     DeleteFile('C:\WINDOWS\system32\YXGARD4WJL\D001.exe');
     DeleteFile('Cmbuhsrvc.sys');
     DeleteFile('C:\WINDOWS\system32\z\J001.exe');
     DeleteFile('C:\Program Files\51Rem\51Rem.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\rrhfg.sys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nwcworkstation\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wmitpfs\Parameters','ServiceDll');
     DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.001\Local Settings\Temporary Internet Files\Content.IE5\DBWC5OXC\05[1].exe');
     DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.001\Local Settings\Temporary Internet Files\Content.IE5\GPH765SS\155[1].exe');
     DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.001\Local Settings\Temporary Internet Files\Content.IE5\GPH765SS\158[1].exe');
     DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.001\Local Settings\Temporary Internet Files\Content.IE5\GPH765SS\158[2].exe');
     DeleteFile('C:\WINDOWS\system32\dllcache\lsasvc.dll');
     DeleteFile('C:\WINDOWS\Temp\051158.exe');
     DeleteFile('C:\WINDOWS\Temp\051926.exe');
    DeleteFileMask('%Tmp%', '*.*', true);
    DeleteFileMask('%userprofile%\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    4
    Вес репутации
    53
    да, переименовывал касперского, после этого он начинает запускаться, но не обновляет свои базы. возможно, из-за того, что переименнован, а может из-за некорректной установки.

    скрипт выполнил. карантин загрузил. новые логи прикрепил.

    спасибо.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}');
    DelCLSID('{80251236-2255-89A4-5687-895462890322}');
    QuarantineFile('C:\WINDOWS\TEMP\Entor.sys','');
     QuarantineFile('C:\WINDOWS\TEMP\NtHid.sys','');
     QuarantineFile('C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf','');
     QuarantineFile('c:\windows\system32\appmgmts.dll','');
     QuarantineFile('Remote Switch.sys','');
     DeleteFile('C:\WINDOWS\system32\t322023.dll');
     DeleteFile('C:\WINDOWS\system32\t329078.dll');
     DeleteFile('c:\windows\system32\qmgr.dll');
     DeleteFile('c:\windows\system32\ntmssvc.dll');
    RenameFile('%windir%\system32\rpcss.dll', '%windir%\system32\rpcss.bak');
    CopyFile('%windir%\system32\dllcache\rpcss.dll', '%windir%\system32\rpcss.dll');
    DeleteFile('%windir%\system32\rpcss.bak');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wmitpfs\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf');
    QuarantineFile('C:\Program Files\intitdll.exe','');
     QuarantineFile('C:\WINDOWS\programs\fuckme.vbs','');
     DeleteFile('C:\WINDOWS\programs\fuckme.vbs');
     DeleteFile('C:\Program Files\intitdll.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    4
    Вес репутации
    53
    После выполнения скрипта касперский стал запускаться под своим нормальным именем.

    Карантин закачал, логи новые прикрепил.

    Сейчас обновляю базы касперского, после чего проведу им полную проверку.

    спасибо.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    QuarantineFile('C:\2\S-1-5-21-1757981266-436374069-839522115-1004\Dc99.exe','');
     QuarantineFile('C:\2\S-1-5-21-1757981266-436374069-839522115-1004\Dc97.exe','');
     QuarantineFile('C:\2\S-1-5-21-1757981266-436374069-839522115-1004\Dc106.exe','');
     QuarantineFile('C:\2\S-1-5-21-1757981266-436374069-839522115-1004\Dc101.exe','');
    QuarantineFile('C:\Program Files\Re\R.exe','');
     end.
    пришлите карантин согласно приложения 3 правил

  8. #7
    Junior Member Репутация
    Регистрация
    12.12.2009
    Сообщений
    4
    Вес репутации
    53
    карантин закачал. один файл в карантин не попал:

    Ошибка карантина файла, попытка прямого чтения (C:\Program Files\Re\R.exe)
    Карантин с использованием прямого чтения - ошибка
    кстати, на диске С видимой папки 2 нет, если это существенно.
    Последний раз редактировалось антивир; 13.12.2009 в 16:14.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Этот файл Вам известен - C:\Program Files\Re\R.exe ?

    Выполните скрипт в AVZ
    Код:
    begin
    DeleteFile('C:\2\S-1-5-21-1757981266-436374069-839522115-1004\Dc101.exe');
     DeleteFile('C:\2\S-1-5-21-1757981266-436374069-839522115-1004\Dc106.exe');
     DeleteFile('C:\2\S-1-5-21-1757981266-436374069-839522115-1004\Dc97.exe');
     DeleteFile('C:\2\S-1-5-21-1757981266-436374069-839522115-1004\Dc99.exe');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 102
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\networkservice.nt authority.001\local settings\temporary internet files\content.ie5\dbwc5oxc\05[1].exe - Trojan-GameThief.Win32.OnLineGames.vwpx ( BitDefender: Gen:Trojan.Heur.GM.01C02300FA )
      2. c:\documents and settings\networkservice.nt authority.001\local settings\temporary internet files\content.ie5\gph765ss\158[2].exe - Worm.Win32.AutoRun.bbrm ( BitDefender: Gen:Trojan.Heur.PT.amW@bS5En!cb, NOD32: Win32/Spy.Pophot.NAO trojan, AVAST4: Win32:AutoRun-AXT [Wrm] )
      3. c:\program files\intitdll.exe - Trojan.Win32.Agent.ddyn ( BitDefender: Generic.PWS.Games.1.692D82A5 )
      4. c:\windows\system32\kb01220349.dll - Trojan.Win32.Vilsel.oge ( DrWEB: Trojan.Siggen.31110, BitDefender: Generic.PWS.Games.4.4ADBEBAA, AVAST4: Win32:Vilsel-D [Trj] )
      5. c:\windows\system32\kb181220545.dll - Trojan.Win32.Vilsel.ooj ( DrWEB: Trojan.PWS.Gamania.22626, BitDefender: Generic.PWS.Games.4.507FE9D7, AVAST4: Win32:Vilsel-D [Trj] )
      6. c:\windows\system32\kb41220358.dll - Trojan.Win32.Vilsel.ond ( BitDefender: Generic.PWS.Games.4.C49E55B5, AVAST4: Win32:Vilsel-D [Trj] )
      7. c:\windows\system32\kb8122049.dll - Trojan.Win32.Vilsel.ogc ( DrWEB: Trojan.PWS.Gamania.22621, BitDefender: Generic.PWS.Games.4.3280F3DF, NOD32: Win32/PSW.OnLineGames.OPK trojan, AVAST4: Win32:Vilsel-D [Trj] )
      8. c:\windows\system32\kb91220421.dll - Trojan.Win32.Vilsel.nvh ( DrWEB: Trojan.PWS.Gamania.22401, BitDefender: Generic.PWS.Games.4.956F4E8C, AVAST4: Win32:Vilsel-D [Trj] )
      9. c:\windows\system32\ntmssvc.dll - Trojan-Downloader.Win32.Small.kib ( BitDefender: Trojan.Generic.2778847, NOD32: Win32/KillAV.NGS trojan, AVAST4: Win32:Malware-gen )
      10. c:\windows\system32\qmgr.dll - Backdoor.Win32.Nbdd.ja ( DrWEB: BackDoor.Siggen.138, BitDefender: MemScan:Backdoor.PcClient.TFU, AVAST4: Win32:Malware-gen )
      11. c:\windows\system32\rpcss.dll - Trojan.Win32.Vilsel.pkm ( BitDefender: Trojan.PWS.OnlineGames.KDBO )
      12. c:\windows\system32\t322023.dll - Trojan-GameThief.Win32.OnLineGames.bnbm
      13. c:\windows\system32\t329078.dll - Trojan-GameThief.Win32.OnLineGames.vwow ( DrWEB: Trojan.PWS.Spydog.3, BitDefender: Trojan.Generic.2898669, AVAST4: Win32:Malware-gen )
      14. c:\windows\system32\wmitpfs.dll - Trojan-PSW.Win32.QQPass.pyh ( BitDefender: Gen:Trojan.Heur.P.bu4@f0iV4xi, AVAST4: Win32:Malware-gen )
      15. c:\windows\temp\051158.exe - Trojan-GameThief.Win32.OnLineGames.vwpx ( BitDefender: Gen:Trojan.Heur.GM.01C02300FA )
      16. c:\windows\temp\051926.exe - Trojan-GameThief.Win32.OnLineGames.vwov ( DrWEB: Trojan.Inject.7712 )
      17. c:\2\s-1-5-21-1757981266-436374069-839522115-1004\dc101.exe - Net-Worm.Win32.Piloyd.bq ( DrWEB: Win32.HLLW.Autoruner.11439, BitDefender: Gen:Trojan.Heur.bmW@@xo@eki )
      18. c:\2\s-1-5-21-1757981266-436374069-839522115-1004\dc106.exe - Net-Worm.Win32.Piloyd.bq ( BitDefender: Gen:Trojan.Heur.bmW@@xo@eki )
      19. c:\2\s-1-5-21-1757981266-436374069-839522115-1004\dc97.exe - Net-Worm.Win32.Piloyd.bq ( BitDefender: Gen:Trojan.Heur.bmW@@xo@eki )
      20. c:\2\s-1-5-21-1757981266-436374069-839522115-1004\dc99.exe - Net-Worm.Win32.Piloyd.bq ( DrWEB: Win32.HLLW.Autoruner.11439, BitDefender: Gen:Trojan.Heur.bmW@@xo@eki )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) антивир, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 17.10.2010, 19:13
    2. Блокируется запуск AVZ
      От Kalashnikov в разделе Помогите!
      Ответов: 43
      Последнее сообщение: 26.11.2009, 00:50
    3. Блокируется запуск антивирусов. Windows XP
      От Mephisto в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.08.2009, 21:55
    4. Ответов: 4
      Последнее сообщение: 19.07.2009, 21:33
    5. Блокируется запуск броузеров
      От Karagiosis в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.07.2009, 10:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01494 seconds with 17 queries