Не открываются ярлыки и системные папки.

[сергиус]

При попытке открытия программы через ярлык или непосредственно файл с расширением exe выплывает окошко с предложением выбора программы. Если там через обзор найти запускающий эту программу файл, то открытие происходит (например: кликаю по AVZ, выплывает окошко с предложенными программами, в обзоре нахожу директорию с AVZ кликаю снова и только тогда открываю). Далее. Не открываются через пуск «Справка и поддержка» (отсутствует helpctr.exe), «Выбор программ по умолчанию» (отсутствует control.exe), в «Панели управления» не открываются «Система», «Электропитание», «Центр обеспечения безопасности» и др (отсутствует rundll32.exe). Самое интересное, что файлы эти есть. Попытка заменить их (скопировал с другого компа) ни к чему ни привела. Пользуясь Вашими инструкциями не смог отключить «Восстановление системы» так как не открывается «Мой компьютер» - «Свойства» (rundll32.exe – приложение не найдено). Прикрепляю 3 лог-файла. Надеюсь на поддержку.

[zerocorporated]

1.В avz выполнить скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 ClearHostsFile;
 QuarantineFile('C:\WINDOWS\system32\carpserv.exe','');
 QuarantineFile('C:\WINDOWS\system32\soundmix.exe','');
 DeleteFile('C:\WINDOWS\system32\soundmix.exe');
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(5);
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(11);
 ExecuteRepair(17);
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 правил

[V_Bond]

после удаления soundmix.exe (скорее он уже удален антивирусом)... могут перестать запускаться exe файлы (я так понимаю уже не запускаются)...
можно переименовать Regedit.exe в Regedit.com ... и из HKLM\Software\Classes\exefile\shell\open\command\s oundmix "%1" %*"
убрать упоминание о ... soundmix.exe ... символы "%1" %*" - оставить ...

[сергиус]

После выполнения скрипта все "глюки" исчезли! Спасибо огромное!
А не поясните "чайнику" что это было такое?

[V_Bond]

у вас по видимому была одна из разновидностей trojan.win32.agent.aec ...
повторите логи ... для контроля ...

[сергиус]

Хотя всё вроде бы работает корректно, есть подозрения что не всё излечилось. Проверил всё заново (теперь смог отключить восстановление системы), заодно и проверил флешку. Логи прикрепил, проконсультируйте, всё ли в порядке?

[V_Bond]

диск E:\ єто что ? СD-Rom ?
стоит разобраться с єтим ....
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[сергиус]

Диск "Е" это флешка на 1 Гб. Комп не подключён к локальной сети, и не будет.

[V_Bond]

выполните http://virusinfo.info/showthread.php?t=8877
выполните скрипт ....

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены