При запуске какой-либо программы спрашивает через что открывать. После установки KAV не запускается. Похоже вирусы ничего не дают сделать.
При запуске какой-либо программы спрашивает через что открывать. После установки KAV не запускается. Похоже вирусы ничего не дают сделать.
Отключить!Код:Восстановление системы: включено
Это ваше?
"Пофиксите" в HijackThisКод:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:9050
Если после этого у вас пропадёт интерент, то в настройках сетевого подключения укажите DNS адреса выданные вашим провайдером.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{E9A2B4FC-48C3-44AC-835C-B011331E44EB}: NameServer = 85.255.112.175,85.255.112.179 O17 - HKLM\System\CCS\Services\Tcpip\..\{FF7714C1-D3FF-4490-8DD7-A6E8FAD36F38}: NameServer = 85.255.112.203,85.255.112.77 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.203,85.255.112.77 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.203,85.255.112.77 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.203,85.255.112.77 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.203,85.255.112.77
Отключитесь от сети и выгрузите ваш фаервол.
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\svchost.com',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxbutfaompfvkfrmowqyrptklxejtmoyqj.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxubqxfbjlqjnsrpuwniyxpexyuriwqodu.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxoiqaoyalyrqmupobutehyibljxdjluul.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxjlkqyxeskcyavpybvuordxkcodoilmna.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxiktklxeyxmemkvrcppglrvkrvuwqbufa.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxiewftcxhrmysjmuaofuacmbeifqbmsbt.sys',''); QuarantineFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP34\A0044714.exe',''); QuarantineFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP34\A0044234.exe',''); QuarantineFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP30\A0042646.exe',''); QuarantineFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP30\A0041813.exe',''); DeleteFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP30\A0041813.exe'); DeleteFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP30\A0042646.exe'); DeleteFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP34\A0044234.exe'); DeleteFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP34\A0044714.exe'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxbutfaompfvkfrmowqyrptklxejtmoyqj.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxiewftcxhrmysjmuaofuacmbeifqbmsbt.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxiktklxeyxmemkvrcppglrvkrvuwqbufa.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxjlkqyxeskcyavpybvuordxkcodoilmna.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxoiqaoyalyrqmupobutehyibljxdjluul.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxubqxfbjlqjnsrpuwniyxpexyuriwqodu.sys'); DeleteFile('C:\autorun.inf'); DeleteFile('F:\autorun.inf'); DeleteFile('C:\WINDOWS\svchost.com'); BC_ImportAll; ExecuteRepair(1); ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=43616
Повторите логи.
После выполнения скрипта в автозагрузке добавился файл KAV'a, но сам КАВ не запустился. Авторан удалился.
Файл на карантин отправил.
Извиняюсь в прошлый раз не мог отключить удаление точек восстановления, потому что при нажатии на св-ва компьютера, выходило отсутствует какой-то файл в формате dll. Сейчас перед выполнением скриптов восстановление системы отключил.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Сделайте полную проверку CureIT и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('\systemroot\system32\drivers\gaopdxjmsqrvkymulvbrpafrnopevdyicqjdkh.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Проверка проведена.
Каждый раз при загрузке системы вылазиет окошко настройки системы. Там стоит отметка на Выборочный Запуск, уже можно сменить на Обычный Запуск?
Логи
Последний раз редактировалось Rene-gad; 12.04.2009 в 20:04.
У меня все отлично работает. Но никто так и не ответил на вопрос, можно ставить на Обычный Запуск?
"Пофиксите" в HijackThis
Ставьте. В логах ничего подозрительного.Код:R3 - URLSearchHook: (no name) - - (no file)
Установите Service Pack 3 (может потребоваться активация) + последующие обновления.
Установите Adobe Reader 9.1 или деинсталлируйте старый.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 38
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\_restore{2b1fb6a7-2c6d-4596-a725-c456a04bb7b9}\rp30\a0041813.exe - HackTool.Win32.Wzbrute.a ( DrWEB: Tool.Bruteforce, BitDefender: Trojan.Hacktool.Wzbrute.A )
- c:\system volume information\_restore{2b1fb6a7-2c6d-4596-a725-c456a04bb7b9}\rp30\a0042646.exe - HackTool.Win32.Wzbrute.a ( DrWEB: Tool.Bruteforce, BitDefender: Trojan.Hacktool.Wzbrute.A )
- c:\system volume information\_restore{2b1fb6a7-2c6d-4596-a725-c456a04bb7b9}\rp34\a0044234.exe - HackTool.Win32.Wzbrute.a ( DrWEB: Tool.Bruteforce, BitDefender: Trojan.Hacktool.Wzbrute.A )
- c:\system volume information\_restore{2b1fb6a7-2c6d-4596-a725-c456a04bb7b9}\rp34\a0044714.exe - HackTool.Win32.Wzbrute.a ( DrWEB: Tool.Bruteforce, BitDefender: Trojan.Hacktool.Wzbrute.A )
- c:\windows\system32\drivers\gaopdxbutfaompfvkfrmow qyrptklxejtmoyqj.sys - Trojan.Win32.Tdss.ysn ( DrWEB: BackDoor.Tdss.129 )
- c:\windows\system32\drivers\gaopdxiewftcxhrmysjmua ofuacmbeifqbmsbt.sys - Trojan.Win32.Tdss.yso ( DrWEB: BackDoor.Tdss.129 )
- c:\windows\system32\drivers\gaopdxiktklxeyxmemkvrc ppglrvkrvuwqbufa.sys - Trojan.Win32.Tdss.ysp ( DrWEB: BackDoor.Tdss.129 )
- c:\windows\system32\drivers\gaopdxjlkqyxeskcyavpyb vuordxkcodoilmna.sys - Trojan.Win32.Tdss.ysq ( DrWEB: BackDoor.Tdss.129 )
- c:\windows\system32\drivers\gaopdxoiqaoyalyrqmupob utehyibljxdjluul.sys - Trojan.Win32.Tdss.ysr ( DrWEB: BackDoor.Tdss.129 )
- c:\windows\system32\drivers\gaopdxubqxfbjlqjnsrpuw niyxpexyuriwqodu.sys - Trojan.Win32.Tdss.yss ( DrWEB: BackDoor.Tdss.129 )
Уважаемый(ая) pixel_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.