Проблемы после трояна

[nelly83]

Здравствуйте.
У меня был троян(может ещё есть). После перезапуска компьютера перестал запускаться антивирус(NOD32),пишет "not valid Win32 apllication".
NOD32 кстати вирус не уловил. О том что у меня троян я узнала через онлайн проверку Касперского.
Firewall каждый раз выключен.
Компьютер в безопасном режиме не запускается. Просто когда доходит до загрузки Windows перезапускается в обычном режиме.
Пробовала запустить ваш скрипт из раздела о том как запускать в безопасном режиме если обычным способом не получается.
Заметила что в Task manager появился процесс flec006.exe который выгрузить нельзя.
Мой товарищ помог мне сделать логи и мы послали их вам. После запуска полученого от вас скрипта,flec006.exe пропал из Task manager.
Антивирус по прежнему не запускается.
Я сделала логи ещё раз.
Почему то HiJackThis работает только когда запущен Skype. Только запущен,без логина. Подругому тут же после запуска HiJackThis его выкидываетю
Посылаю логи вам.
Помогите пожалуйста.
Заранее большое спасибо.
С уважением Нелли.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%System32%\drivers\srosa.sys','');
 QuarantineFile('%System32%\drivers\hldrrr.exe','');
 QuarantineFile('%System32%\wintems.exe','');
 QuarantineFile('%System32%\drivers\mdelk.exe','');
 QuarantineFile('%System32%\mdelk.exe','');
 QuarantineFile('c:\documents and settings\nellechka\application data\m\flec006.exe','');
DeleteFile('c:\documents and settings\nellechka\application data\m\flec006.exe');
 DeleteFile('%System32%\drivers\hldrrr.exe');
 DeleteFile('%System32%\drivers\srosa.sys');
 DeleteFile('%System32%\wintems.exe');
 DeleteFile('%System32%\drivers\mdelk.exe');
 DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
 else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
 else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then 
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end; 
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then 
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end; 
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); 
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
выполните пункт 2 правил
логи повторите ...
приложите
B_d.txt и boot_clr_B_d.log

[nelly83]

Пункт 2 не сделала потому что компьютер не загружается в безопасном режиме. Можно ли сделать пункт 2 в обычном режиме?
Спасибо.

[V_Bond]

- отключитесь от интернета ...
- пуск - выполнить msconfig отключите автозагрузку
- заново рекомендации из поста 2

[nelly83]

Что значит отключить автозагрузку?
Это в msconfig в язычке "Start up" убрать все галочки?
С ctfmon.exe тоже? (Я слышала что если с него снять то может не подняться компьютер).
Спасибо

[pig]

Да, снять галочки с отключаемого.
ctfmon.exe - переключатель раскладки клавиатуры, система без него прекрасно живёт.

[nelly83]

архив с карантином:
http://virusinfo.info/showthread.php?t=28827
Сделала всё что сказали.
Пункт 2 тоже.
Dr.Web нашел и удалил flec006.exe
Что делать теперь чтобы антивирус тоже запускался?
Спасибо

Добавлено через 1 минуту

кстати опция "Shoe hidden files" в Tools отсутствует.
Нужно ли вернуть автозагрузку или пока нет?

[V_Bond]

для начала нужно сделать новые логи ...

[nelly83]

Это были новые логи

[V_Bond]

где были ?

[nelly83]

я присоединяла

[V_Bond]

пофиксите ....

Код:

O2 - BHO: (no name) - {1d1b60fd-b21f-4b9a-8a5f-64e8544828d7} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

выполните скрипт ....

Код:

begin
ExecuteRepair(10);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.

[nelly83]

Сделала

[V_Bond]

какие-то проблемы остались ?

[nelly83]

"show hidden files" нет
антивирус не запускается. Пишет "not valid win32 application"
Нужно ли вернуть автозагрузку? Если да то на что?

[V_Bond]

"show hidden files" нет

вы пробовали после скрипта ?

антивирус не запускается. Пишет "not valid win32 application"

антивирус придется переустановить ..

Нужно ли вернуть автозагрузку?

да как хотите ...

[nelly83]

Пробовала после скрипта
Спасибо большое
антивирус переустановлю

[nelly83]

у меня вопрос:
как мне вернуть опцию "Shoe hidden files" в Tools
спасибо

[V_Bond]

файлы отображаются ... а галочка не стоит ... правильно я понял ?

[nelly83]

Скрытые файлы и папки не отображаются и опции этой(чтобы поставить галочку) нет вообще.