После лечением Касперски рискуе диск неустанавливается обновления

[unforgiven101077]

После лечением Касперски рискуе диск неустанавливается обновления системы тоесть они скачиваются но не устонавливаются , поломав голову пол дня решил обратится к людям которые нераз мне помогали. Заранее вам благодарен.

[Info_bot]

Уважаемый(ая) unforgiven101077, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\xinstall2294200.dll','');
 QuarantineFile('C:\windows\temp4100.dll','');
 QuarantineFile('C:\WINDOWS\92916_Ss.dll','');
 QuarantineFile('C:\WINDOWS\5_Ss.dll','');
 QuarantineFile('C:\Documents and Settings\slavasimpex\Мои документы\MSDCSC\msdcsc.exe','');
 QuarantineFile('C:\Documents and Settings\NetworkService\Главное меню\Программы\Автозагрузка\7k7kУОП•єР.exe','');
 QuarantineFile('C:\WINDOWS\System32\tcpwamtlib.exe','');
 QuarantineFile('C:\WINDOWS\system32\WiHelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinHel.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\i2035\F001.exe','');
 SetServiceStart('WinHrpv32', 4);
 DeleteService('WinHrpv32');
 SetServiceStart('WinHelp32', 4);
 DeleteService('WinHelp32');
 SetServiceStart('WinHel', 4);
 DeleteService('WinHel');
 SetServiceStart('WiHelp32', 4);
 DeleteService('WiHelp32');
 SetServiceStart('WamtSvc', 4);
 DeleteService('WamtSvc');
 DeleteFile('C:\WINDOWS\system32\i2035\F001.exe');
 DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
 DeleteFile('C:\WINDOWS\system32\WinHel.exe');
 DeleteFile('C:\WINDOWS\system32\WiHelp32.exe');
 DeleteFile('C:\WINDOWS\System32\tcpwamtlib.exe');
 DeleteFile('C:\WINDOWS\5_Ss.dll');
 DeleteFile('C:\WINDOWS\92916_Ss.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ \Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex0\Parameters','ServiceDll');
 DeleteFile('C:\windows\temp4100.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x0\Parameters','ServiceDll');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог ComboFix

[unforgiven101077]

Многоуважаемые хэлперы карантин неполучается выслать так как винт снимали и тэстили на другой машине , логи переделал из проблем есть 3 службы непонятных мне с названием netsvcs_0x0. nex0, nex2 и файл в автозапуске с именем 7k7kУОП·єР.exe. Заранее Вам Благодарен , если можно дайте скрипт на отключение автозапуска

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.

Код:

KillAll::

File::
c:\windows\system32\PDqeSFtg.exe
c:\windows\system32\mcsql.vbs
c:\windows\system32\IVhuGSfr.exe
c:\windows\system32\rfSGthVI.exe
c:\windows\system32\mZNAobPC.exe
c:\windows\system32\MlyKWvtG.exe
c:\windows\system32\lZMAnbqG.exe
c:\windows\system32\FvCGkcDF.exe
c:\windows\system32\iVJwkXLy.exe
c:\windows\system32\eSFthUIv.exe
c:\windows\system32\QcoBNkis.exe
c:\windows\system32\HUgtFSeq.exe
c:\windows\system32\JwkzBDev.exe
c:\windows\system32\frDQcpBO.exe
c:\windows\system32\huuGTdCn.exe
c:\windows\system32\tempc.bat
c:\windows\system32\KKxlZMnO.exe
c:\windows\system32\uiJwkXaP.exe
c:\windows\system32\QDreSFtg.exe
c:\windows\system32\VhuGGnvD.exe
c:\windows\system32\qCPPboAN.exe
c:\windows\141243_Ss.dll
c:\windows\141235_Ss.dll
c:\windows\13517_Ss.dll
c:\windows\133346_Ss.dll
c:\windows\133339_Ss.dll
c:\windows\system32\tcpwamelib.exe
c:\documents and settings\NetworkService\Главное меню\Программы\Автозагрузка\7k7kУОП·єР.exe
c:\tcpz-x86.sys

Driver::
Tcpz-x86
netsvcs_0x0
nex0
nex2

Folder::

Registry::

FileLook::
c:\windows\system32\gouri.bat
c:\windows\system32\hexNet.exe
c:\windows\system32\sNet.exe
c:\windows\ksvsfrs.exe

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[unforgiven101077]

Скрипт выполнил вот новые логи

[thyrex]

1. Запустите редактор реестра и сделайте экспорт в отдельный файл ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
Запакуйте полученный файл и прикрепите к сообщению

2.

Код:

c:\windows\system32\gouri.bat
c:\windows\system32\hexNet.exe
c:\windows\system32\sNet.exe
c:\windows\ksvsfrs.exe
c:\windows\system32\tempc.bat

Запакуйте с паролем virus и пришлите по по красной ссылке Прислать запрошенный карантин вверху темы

3.

Код:

c:\windows\system32\PDqeSFtg.exe
c:\windows\system32\mcsql.vbs
c:\windows\system32\IVhuGSfr.exe
c:\windows\system32\rfSGthVI.exe
c:\windows\system32\mZNAobPC.exe
c:\windows\system32\tcpwamelib.exe

Удалите вручную

[unforgiven101077]

Запрошеный карантин закачал
Файл сохранён как 111117_164004_11_4ec538e42cd8f.zip
Размер файла 530305
MD5 d6f75a163746c86fc0607df857a8cd7c
Ветку реестра экспортировал и запаковал и прикрепил
ненашёл следующие файлы : c:\windows\system32\tempc.bat,c:\windows\system32\ tcpwamelib.exe
Жду дальнеёших указании

[thyrex]

Код:

c:\windows\system32\gouri.bat
c:\windows\system32\hexNet.exe
c:\windows\system32\sNet.exe
c:\windows\ksvsfrs.exe
c:\windows\system32\tempc.bat

Удалите вручную

Запустите редактор реестра и зайдите в ветку [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs]
Исправьте значение, удалив все, кроме 6to4

Зайдите в ветку [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] и удалите параметр olema

[unforgiven101077]

Всё зделал как сказали проблем никаких вроде поканевижу существеных но поотключалось куча служб которые тем или иным способом связаны с svchost и никак неполучается их запустить в частности обновление виндоус, служба локальной сети

[unforgiven101077]

Вот новые логи

[thyrex]

Скачайте файл во вложении, распакуйте и запустите его. Подтвердите внесение информации в реестр

[unforgiven101077]

Спасибо но поммогло мне только функция рэпэйр с дистрибутива всё работает нормально Спасибо большое за помощ. Тему можно закрыть.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\hexnet.exe - P2P-Worm.Win32.Palevo.dwuk ( DrWEB: BackDoor.FengSpy.4, BitDefender: Worm.Generic.354620, AVAST4: Win32:Malware-gen )
  2. \\ksvsfrs.exe - Trojan-PSW.Win32.Alipay.ns ( DrWEB: Trojan.PWS.AliPay.2, BitDefender: Trojan.Generic.7254173, AVAST4: Win32:Malware-gen )
  3. \\snet.exe - P2P-Worm.Win32.Palevo.dwuk ( DrWEB: BackDoor.FengSpy.4, BitDefender: Worm.Generic.354620, AVAST4: Win32:Malware-gen )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !