не работает антивирус и восстановление системы...

**Vaterliniya** · 09.04.2011, 23:19

здравствуйте. у меня вот такие проблемы-1) не работает антивирус НОД 32 - устанавливется нормально, но сразу пишет "произошла ошибка в режиме реального времени..., переустановите...," переустанавливаю - тож самое. сканировала Dr.WEB CureIt - удалил несколько вирусов. 2) не работает восстановление системы- то есть ваще не запускается ч/з Пуск-Служебные и т.д.
3) не включается отображение скрытых файлов в Свойствах папки. 4) периодически синие экраны- код ошибку нет возможности записать- пока при мне не было. есть подозрение что синие экраны из-за антивируса т.к когда антивир удалила (CCleaner ом) пока синих не было. все процедуры, предписанные правилами раздела выполнила. Windows XP SP2

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Acidorum** · 09.04.2011, 23:58

Здравствуйте!

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Пожалуйста, обновите базы AVZ (Файл->Обновление баз) и сделайте повторные логи.

**Vaterliniya** · 10.04.2011, 00:22

хм, я обновляла. ладно, еще раз.

**Acidorum** · 10.04.2011, 00:33

Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\NORTON\U-34543ANTI-9998887776-23234532-565\nav.exe','');
QuarantineFile('cryptnet32.dll','');
QuarantineFile('srservice.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys');
DeleteFile('C:\NORTON\U-34543ANTI-9998887776-23234532-565\nav.exe');
DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D');
DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
DelCLSID('64KLC5K0-4OPM-00WE-AAX8-27EF1D183366');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
Прокси сами ставили?

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :80

**Vaterliniya** · 10.04.2011, 01:04

прокси я не ставила и никто не ставил. хм...

**Acidorum** · 10.04.2011, 01:29

Лог virusinfo_syscure.zip старый приложили.

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelWinlogonNotifyByFileName('cryptnet32.dll');
BC_ServiceKill('rrhwkl');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте повторные логи.

**Vaterliniya** · 10.04.2011, 01:55

убейте меня кто-нить....

все сделала, логи новые) 1:49 и 1:51)

**Acidorum** · 10.04.2011, 11:42

Отключите:
-Все защитные приложения
-ПК от интернета
Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: cryptnet32 - cryptnet32.dll (file missing)
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
O3 - Toolbar: (no name) - {7778AA60-698A-41D9-9BF0-7AB41045AA7F} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('srservice.sys','');
DeleteFile('srservice.sys');
DeleteService('srservice');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srservice');
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.

**Vaterliniya** · 10.04.2011, 23:47

все сделала. новые логи вот. а много еще нужно выполнить примерно?

**Acidorum** · 11.04.2011, 00:42

Нет, совсем немного.

Что с проблемами?
В логах не вижу ничего зловредного.
Установите:
-Service Pack 3 (может потребоваться активация, перед установкой выгрузите все приложения) + все обновления отсюда.
-Internet Explorer 8.
Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz_log.txt. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.