-
Junior Member
- Вес репутации
- 52
Что-то убивает касперского (любой avp.exe)
Заметил что у меня постоянно умирал avp.exe и сразу же перезапускался системой. Это не краш, ничего, каспера переставил, все так же.
Потом переименовал обычную програмульку в avp.exe и запустил - упало.
Очевидно, что-то убивает все процессы с именем avp.exe
Что это?
Логи прилагаю. Каспера снес, все равно он ничего не ищет и даже запуститься не может. AVP tool и CureIt! ничего не нашли.
Непереименованный HijackThis крашится в момент сбора данных.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пуск - Regedit
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
avp.exe присутствует?
-
-
Junior Member
- Вес репутации
- 52
-
-
-
Junior Member
- Вес репутации
- 52
Пожалуйста.
Меня смущает adatadrv.sys, я его проверил:
http://www.virustotal.com/file-scan/...1f2-1290710665
-
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
QuarantineFile('C:\Windows\system32\DRIVERS\adatadrv.sys','');
BC_Importquarantinelist;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
-
-
Junior Member
- Вес репутации
- 52
AVZ у меня падает при выполнении такого скрипта. Версия последняя, базы обновлены. Пробывал его переименовывать.
Problem signature:
Problem Event Name: APPCRASH
Application Name: proverka.cmd
Application Version: 4.35.0.1
Application Timestamp: 2a425e19
Fault Module Name: advapi32.dll
Fault Module Version: 6.1.7600.16385
Fault Module Timestamp: 4a5bd97e
Exception Code: c0000096
Exception Offset: 00022a53
OS Version: 6.1.7600.2.0.0.256.1
Locale ID: 1033
Additional Information 1: c396
Additional Information 2: c396f6d0bf25ca718fa81ec7f959a449
Additional Information 3: c396
Additional Information 4: c396f6d0bf25ca718fa81ec7f959a449
Попробую в безопасном режиме
-
Junior Member
- Вес репутации
- 52
В безопасном режиме программа так же вылетает.
Останваливается в момент как на скриншоте и закрывается. Переименовывавть в kjsldkf.com пробовал - тот же эффект.
-
Попробуем так. В AVZ выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Windows\system32\DRIVERS\adatadrv.sys','');
BC_QrFile('C:\Windows\system32\DRIVERS\adatadrv.sys');
BC_ImportAll;
BC_Execute;
SetAVZGuardStatus(false);
end.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 52
Результат загрузки
Файл сохранён как 101126_163006_virus_4cefb65ed253e.zip
Размер файла 726585
MD5 d57646fc0eca7b0d539ed051d2851bf0
-
Junior Member
- Вес репутации
- 52
Файл не залился? Или у меня сложный случай?
-
-
-
Junior Member
- Вес репутации
- 52
Вот.
Не знаю зачем он мне кое-что снес, я его не просил.... C:\Qoobox он не создал, ну да фиг с ним, скачаю еще раз.
Скажите хоть, какие есть идеи?
-
Junior Member
- Вес репутации
- 52
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
KillAll::
File::
Driver::
Folder::
c:\windows\system32\1033
Registry::
FileLook::
c:\windows\system32\browserchoice.exe
DirLook::
c:\users\Dragon31337\.p4ob
c:\users\Dragon31337\.p4admin
c:\users\Dragon31337\.p4qt
RegLock::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
-
-
Junior Member
- Вес репутации
- 52
Это, сразу могу сказать - папки perforceб что-то типа SVN в нихе го конфигурация и ничего больше.
browserchoice.exe - чист, вот проверка моего файла на свежих АВ:
http://www.virustotal.com/file-scan/...7d7-1291227596
единственный файл в C:\Windows\System32\1033\ я тоже проверил - чисто
http://www.virustotal.com/file-scan/...0c8-1291227835
Combofix меня как-то не впечатлил, хотя бы скажите что сделает этот скрипт?
Только скан?
-
Junior Member
- Вес репутации
- 52
-
Сообщение от
snifer67
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
а это где?
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
Dragon31337
Combofix меня как-то не впечатлил, хотя бы скажите что сделает этот скрипт?
Только скан?
А это где?
Этот комбофикс уже снес у меня ни в чем неповинный TrashReg, поэтому я хотел бы знать что он бует делать. Не люблю тулзы, кторые без вопросов трут что хотят.
Вообще я весь лог что должен быть от той программы расписал. Что там за папки и файлы.
-
Junior Member
- Вес репутации
- 52