Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Не запускаются: avp.exe, avz, hijackthis, cureit (заявка № 59783)

  1. #1
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53

    Exclamation Не запускаются: avp.exe, avz, hijackthis, cureit

    Здравствуйте!
    После установки не запускался KIS 2010 (установка с диска)
    Не запускались AVZ, hijackthis, cureit, (в т.ч. переименнованные) regedit, не отображались скрытые файлы и папки, расширения зарегистрированных типов файлов.
    Rising antivirus (пробная версия платного) - часть заразы нашлась (не нашел файлов журнала Rising, уже удален, логи привести не могу) - все перечисленные проблемы остались.
    HDD размонтирован, подключен к заведомо рабочей машине, проверен KAV 2009 (с базами от 8 ноября 2009), что-то нашлось, запускаются [только!] переименнованные AVZ, hijackthis, cureit.
    Проверен cureit (с сайта производителя от 8.11.2009), нашлось еще что-то, машина перезагружена, запустился переименнованный (!) каспер, подключена сеть, пробная версия зарегистрирована, попытка обновления: "Невозможно запустить задачу Объект не найден", проверка выцепила еще что-то из системы. Деинсталяция - с ошибками. Инсталяция (с сайта разработчика) - висят 2 процесса avp.exe (user и system), в трее пусто (в т.ч. при ручном запуске с:\...\Program~1\...avp.exe).
    Как это лечится дальше?
    Вложение 177373
    Вложение 177374
    Вложение 177375

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи, как описано в разделе Диагностика правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53

  5. #4
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53
    Еще одна особенность:
    При открытии папки "Сетевое окружение" Windows Installer пытается обновить MS Office, требует файл PRO11.MSI. Вчера еще такого не было.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
    BC_DeleteSvc('RavCCenter');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Повторите п.2 раздела Диагностика и сделайте лог gmer.
    I am not young enough to know everything...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    + Bratez

    Выполните скрипт в avz
    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    Сделайте еще такой лог:
    http://virusinfo.info/showthread.php?t=40118.
    Последний раз редактировалось snifer67; 10.11.2009 в 13:48.

  8. #7
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53
    Логи после выполнения первого скрипта (by Bratez)
    Вложение 177760
    Вложение 177761
    Выполняется второй...

  9. #8
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53
    Второй скрипт выполнен.
    Лог gmer спустя примерно час сканирования...
    Вложение 177765

    ЗЫЖ Скрипты в avz (визуально) выполняются как-то [подозрительно] моментально... Дайте, пожалуйста, какой-нить большой безопасный скрипт
    (Зацикленные операции чтения из реестра). По необытности щас намудрю

  10. #9
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53
    Полный лог gmer:
    Вложение 177771

  11. #10
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53
    логи fvz позле выполнения 2-го скрипта
    Вложение 177772
    Вложение 177773

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все нормально, только вовсе незачем было делать лог гмера 3 раза

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\WINDOWS\system32\upbzqm.dll','');
    DeleteFile('C:\WINDOWS\system32\upbzqm.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ukwnyxwi');
    RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\ukwnyxwi');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ukwnyxwi\Parameters');
    RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\ukwnyxwi\Parameters');
    RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ukwnyxwi');
    RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ukwnyxwi');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS');
    RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\BITS');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv');
    RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\wuauserv');
    RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
    RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=59783).
    Повторите п.2 раздела Диагностика и сделайте новый лог gmer.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53
    Во время выполнения скрипта вылез диалог "Устройство не готово; либо дверца открыта.. (Диск Е)" Нажатие "Отмена/Повторить/Продолжить" не удовлетворяют. Скрипт остановился на строке "DeleteFile('C:\WINDOWS\system32\upbzqm.dll'); " avz не отвечает... Задача не убивается (либо появляется вновь, но очень быстро).
    Файла upbzqm.dll ни в sys32, ни в карантине нет...
    Последний раз редактировалось Viktor.Kh; 11.11.2009 в 12:18.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в безопасном режиме.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53
    Файл сохранен как 091111_124251_virus_4afa871b4cd8d.zip

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Bratez Посмотреть сообщение
    Повторите п.2 раздела Диагностика и сделайте новый лог gmer.
    ///
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53
    лог avz, gmer работает..Вложение 177837

  18. #17
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53
    gmer... Окончания проверки файловой системы не дождался...
    Вложение 177845

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах все нормально. Что с проблемами?
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    09.11.2009
    Сообщений
    15
    Вес репутации
    53

    Скрытые объекты и расширения зарегистрированных типов не отображаются

    Каспер снесен (так как после выполнения последнего скрипта не запускался, восстановление не восстанавливало (тавтология, пардон) большинство компонентов), переустановлен, обновлен, еще 2 зловреда в нескольких файлах... Ребут... Вход в систему - падает svchost.exe... shutdown -a... невозможно попасть в интернет, не запускается explorer.exe, taskman.exe, через пару минут система виснет намертво... 2 ресета подряд... Логон происходит нормально. Что это было?
    Сейчас:
    [Решено] Запускаются каспер, avz, cureit, regedit, hijackthis, cmd.exe
    [Осталось] Не отображаются скрытые объекты файловой системы и расширения известных типов файлов...

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Viktor.Kh Посмотреть сообщение
    [Осталось] Не отображаются скрытые объекты файловой системы и расширения известных типов файлов...
    Выполните такой скрипт:
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true); 
    end.
    Должно помочь.
    I am not young enough to know everything...

  • Уважаемый(ая) Viktor.Kh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Не запускаются HiJackThis, AVZ
      От Azazel_Mark в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.09.2010, 02:28
    2. Ответов: 1
      Последнее сообщение: 13.09.2010, 22:59
    3. Заблокированы CureIt, AVZ, HiJackThis
      От superjen в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 28.08.2010, 07:32
    4. AVZ, HijackThis не запускаются....
      От Xaocc в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.07.2009, 11:33
    5. HijackThis и AVZ не запускаются
      От propp в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.11.2008, 11:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00624 seconds with 17 queries