-
Junior Member
- Вес репутации
- 53
Не запускаются: avp.exe, avz, hijackthis, cureit
Здравствуйте!
После установки не запускался KIS 2010 (установка с диска)
Не запускались AVZ, hijackthis, cureit, (в т.ч. переименнованные) regedit, не отображались скрытые файлы и папки, расширения зарегистрированных типов файлов.
Rising antivirus (пробная версия платного) - часть заразы нашлась (не нашел файлов журнала Rising, уже удален, логи привести не могу) - все перечисленные проблемы остались.
HDD размонтирован, подключен к заведомо рабочей машине, проверен KAV 2009 (с базами от 8 ноября 2009), что-то нашлось, запускаются [только!] переименнованные AVZ, hijackthis, cureit.
Проверен cureit (с сайта производителя от 8.11.2009), нашлось еще что-то, машина перезагружена, запустился переименнованный (!) каспер, подключена сеть, пробная версия зарегистрирована, попытка обновления: "Невозможно запустить задачу Объект не найден", проверка выцепила еще что-то из системы. Деинсталяция - с ошибками. Инсталяция (с сайта разработчика) - висят 2 процесса avp.exe (user и system), в трее пусто (в т.ч. при ручном запуске с:\...\Program~1\...avp.exe).
Как это лечится дальше?
Вложение 177373
Вложение 177374
Вложение 177375
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи, как описано в разделе Диагностика правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Еще одна особенность:
При открытии папки "Сетевое окружение" Windows Installer пытается обновить MS Office, требует файл PRO11.MSI. Вчера еще такого не было.
-
Выполните скрипт в AVZ:
Код:
begin
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
BC_DeleteSvc('RavCCenter');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите п.2 раздела Диагностика и сделайте лог gmer.
I am not young enough to know everything...
-
-
+ Bratez
Выполните скрипт в avz
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118.
Последний раз редактировалось snifer67; 10.11.2009 в 13:48.
-
-
Junior Member
- Вес репутации
- 53
Логи после выполнения первого скрипта (by Bratez)
Вложение 177760
Вложение 177761
Выполняется второй...
-
Junior Member
- Вес репутации
- 53
Второй скрипт выполнен.
Лог gmer спустя примерно час сканирования...
Вложение 177765
ЗЫЖ Скрипты в avz (визуально) выполняются как-то [подозрительно] моментально... Дайте, пожалуйста, какой-нить большой безопасный скрипт
(Зацикленные операции чтения из реестра). По необытности щас намудрю
-
Junior Member
- Вес репутации
- 53
Полный лог gmer:
Вложение 177771
-
Junior Member
- Вес репутации
- 53
логи fvz позле выполнения 2-го скрипта
Вложение 177772
Вложение 177773
-
Все нормально, только вовсе незачем было делать лог гмера 3 раза
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\upbzqm.dll','');
DeleteFile('C:\WINDOWS\system32\upbzqm.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ukwnyxwi');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\ukwnyxwi');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ukwnyxwi\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\ukwnyxwi\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ukwnyxwi');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ukwnyxwi');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\BITS');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=59783).
Повторите п.2 раздела Диагностика и сделайте новый лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Во время выполнения скрипта вылез диалог "Устройство не готово; либо дверца открыта.. (Диск Е)" Нажатие "Отмена/Повторить/Продолжить" не удовлетворяют. Скрипт остановился на строке "DeleteFile('C:\WINDOWS\system32\upbzqm.dll'); " avz не отвечает... Задача не убивается (либо появляется вновь, но очень быстро).
Файла upbzqm.dll ни в sys32, ни в карантине нет...
Последний раз редактировалось Viktor.Kh; 11.11.2009 в 12:18.
-
Выполните скрипт в безопасном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Файл сохранен как 091111_124251_virus_4afa871b4cd8d.zip
-
Сообщение от
Bratez
Повторите п.2 раздела Диагностика и сделайте новый лог gmer.
///
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
лог avz, gmer работает..Вложение 177837
-
Junior Member
- Вес репутации
- 53
gmer... Окончания проверки файловой системы не дождался...
Вложение 177845
-
В логах все нормально. Что с проблемами?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Скрытые объекты и расширения зарегистрированных типов не отображаются
Каспер снесен (так как после выполнения последнего скрипта не запускался, восстановление не восстанавливало (тавтология, пардон) большинство компонентов), переустановлен, обновлен, еще 2 зловреда в нескольких файлах... Ребут... Вход в систему - падает svchost.exe... shutdown -a... невозможно попасть в интернет, не запускается explorer.exe, taskman.exe, через пару минут система виснет намертво... 2 ресета подряд... Логон происходит нормально. Что это было?
Сейчас:
[Решено] Запускаются каспер, avz, cureit, regedit, hijackthis, cmd.exe
[Осталось] Не отображаются скрытые объекты файловой системы и расширения известных типов файлов...
-
Сообщение от
Viktor.Kh
[Осталось] Не отображаются скрытые объекты файловой системы и расширения известных типов файлов...
Выполните такой скрипт:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Должно помочь.
I am not young enough to know everything...
-