Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Что-то убивает касперского (любой avp.exe) (заявка № 92297)

  1. #1
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52

    Question Что-то убивает касперского (любой avp.exe)

    Заметил что у меня постоянно умирал avp.exe и сразу же перезапускался системой. Это не краш, ничего, каспера переставил, все так же.
    Потом переименовал обычную програмульку в avp.exe и запустил - упало.
    Очевидно, что-то убивает все процессы с именем avp.exe

    Что это?

    Логи прилагаю. Каспера снес, все равно он ничего не ищет и даже запуститься не может. AVP tool и CureIt! ничего не нашли.

    Непереименованный HijackThis крашится в момент сбора данных.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Пуск - Regedit
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    avp.exe присутствует?

  4. #3
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    Нет, не присутствует.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612

  6. #5
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    Пожалуйста.
    Меня смущает adatadrv.sys, я его проверил:
    http://www.virustotal.com/file-scan/...1f2-1290710665

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\Windows\system32\DRIVERS\adatadrv.sys','');
    BC_Importquarantinelist;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

  8. #7
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    AVZ у меня падает при выполнении такого скрипта. Версия последняя, базы обновлены. Пробывал его переименовывать.
    Problem signature:
    Problem Event Name: APPCRASH
    Application Name: proverka.cmd
    Application Version: 4.35.0.1
    Application Timestamp: 2a425e19
    Fault Module Name: advapi32.dll
    Fault Module Version: 6.1.7600.16385
    Fault Module Timestamp: 4a5bd97e
    Exception Code: c0000096
    Exception Offset: 00022a53
    OS Version: 6.1.7600.2.0.0.256.1
    Locale ID: 1033
    Additional Information 1: c396
    Additional Information 2: c396f6d0bf25ca718fa81ec7f959a449
    Additional Information 3: c396
    Additional Information 4: c396f6d0bf25ca718fa81ec7f959a449


    Попробую в безопасном режиме

  9. #8
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    В безопасном режиме программа так же вылетает.
    Останваливается в момент как на скриншоте и закрывается. Переименовывавть в kjsldkf.com пробовал - тот же эффект.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Попробуем так. В AVZ выполните скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Windows\system32\DRIVERS\adatadrv.sys','');
    BC_QrFile('C:\Windows\system32\DRIVERS\adatadrv.sys');
    BC_ImportAll;
    BC_Execute;
    SetAVZGuardStatus(false);
    end.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
    Paula rhei.
    Поддержать проект можно тут

  11. #10
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    Результат загрузки
    Файл сохранён как 101126_163006_virus_4cefb65ed253e.zip
    Размер файла 726585
    MD5 d57646fc0eca7b0d539ed051d2851bf0

  12. #11
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    Файл не залился? Или у меня сложный случай?

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Сделайте лог ComboFix

  14. #13
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    Вот.

    Не знаю зачем он мне кое-что снес, я его не просил.... C:\Qoobox он не создал, ну да фиг с ним, скачаю еще раз.

    Скажите хоть, какие есть идеи?

  15. #14
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    И тишина =(

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    временно выключите антивирус, firewall и другое защитное программное обеспечение
    Код:
    KillAll:: 
    
    File::
    
    Driver::
    
    Folder::
    c:\windows\system32\1033
    Registry::
    
    FileLook::
    c:\windows\system32\browserchoice.exe
    DirLook::
    c:\users\Dragon31337\.p4ob
    c:\users\Dragon31337\.p4admin
    c:\users\Dragon31337\.p4qt
    RegLock::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

  17. #16
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    Это, сразу могу сказать - папки perforceб что-то типа SVN в нихе го конфигурация и ничего больше.
    browserchoice.exe - чист, вот проверка моего файла на свежих АВ:
    http://www.virustotal.com/file-scan/...7d7-1291227596
    единственный файл в C:\Windows\System32\1033\ я тоже проверил - чисто
    http://www.virustotal.com/file-scan/...0c8-1291227835

    Combofix меня как-то не впечатлил, хотя бы скажите что сделает этот скрипт?
    Только скан?

  18. #17
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    Совсем глухо?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
    а это где?

  20. #19
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    Цитата Сообщение от Dragon31337 Посмотреть сообщение
    Combofix меня как-то не впечатлил, хотя бы скажите что сделает этот скрипт?
    Только скан?
    А это где?
    Этот комбофикс уже снес у меня ни в чем неповинный TrashReg, поэтому я хотел бы знать что он бует делать. Не люблю тулзы, кторые без вопросов трут что хотят.
    Вообще я весь лог что должен быть от той программы расписал. Что там за папки и файлы.

  21. #20
    Junior Member Репутация
    Регистрация
    16.02.2010
    Сообщений
    13
    Вес репутации
    52
    вот лог

  • Уважаемый(ая) Dragon31337, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. вирус на Windows7 убивает AVZ
      От kosmoflyko в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.07.2010, 12:20
    2. Вирус убивает .ЕХЕ файлы
      От GAB в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:55
    3. Вирус убивает мой компьютер(((
      От Димон в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:01
    4. Вирус убивает МР3 Хэлп!
      От Svoyak в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.10.2008, 11:20
    5. он убивает все ;-(
      От blondinka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.10.2008, 19:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01393 seconds with 19 queries