Не могу сделать скан.. ВИрус- помогите

**Brakses** · 19.06.2010, 17:14

Здравствуйте... Проблемма.
Не могу запустить avz или вообще любой exe... Пишет что данное приложение не является приложением win32... Не запускаются именно антивирусняки... Что сделать*

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**ARMA9000** · 19.06.2010, 17:32

Попробуйте авз из моей подписи.

**Brakses** · 19.06.2010, 18:42

Не заходит на тебя... НЕвозможно отобразить страницу.... Но у меня не запускается не только avz, но HijackThisInstaller.exe
И мой антивирь (др. веб). Тоже не запускается... А все остальное - типо винампа и тд... Все запускается...

Добавлено через 1 час 6 минут

Не разобрался я как вылечить по кашмарскому эту заразу Trojan-Downloader.Win32.Bagle.dmi.
А в личку писать уже не могу. Лимит 5 сообщение... Есть еще варианты борьбы?

**ARMA9000** · 19.06.2010, 18:49

Если есть возможность, то нужно скачать LiveCD и записать на диск или флешку.
http://virusinfo.info/showpost.php?p=648638&postcount=5

**Brakses** · 19.06.2010, 18:58

странно. Но все ссылки (на этом форуме) у меня не открываются... Я уже давно не мог зайти к вам на форум. Думал, что форум убрали. Только через такое начало http://216.246.91.178/ удалось сюда зайти... Ссылка не открывается=(

**AndreyKa** · 19.06.2010, 19:39

А так? http://216.246.90.119/showpost.php?p=648638&postcount=5

**Brakses** · 19.06.2010, 23:24

Все равно нет=(... не заходит...
Кароче... Я сдела скан через кашмарского (сд)... Антивирь зупстился. Но походу вирус что-то поудалял в нем и он не обновляется. Ну да ладно...
Появился звук. Но по прежднему ничего не хочет запускаться - пишет что не есть приложение вин 32.
Полимофорный авз не запускается. НО не пишет что не есть приложение вин 32. Просто запускается (моргнет) и пропадает....
Есть ли еще версии как помоч?

Кароче=))) Интересно... Он не заходит в безопасный режим... За то без тормозов работает в обычном режиме... Норм качает с инета... Слушается музыка... Запускаются программы. Но авз и хаджаб не хотят. + когда я устанавливаю др веба он на стадии (запуск служб) пишет, что не может запустить службы. Мол нету доступа... Зайдите администратором и тд...

**Brakses** · 19.06.2010, 23:42

Кароче... Я смог сделал лог через прогу Autorun Manager OSAM

**Brakses** · 20.06.2010, 00:04

Может что-то еще можно сделать. Я сегодня весь день от компа не отхожу... уже начинаю отчаяваться.

**AndreyKa** · 20.06.2010, 00:23

Отключите
Drivers:
"azuzoowd" (azuzoowd)
"sK9Ou0s" (sK9Ou0s)
"srosa" (srosa)
Logon:
"drvsyskit"

Нажмите Apply, перезагрузите компьютер. Попробуйте сделать логи по Правилам.

**Brakses** · 20.06.2010, 00:38

=(((((((((((
Отключил все что нашел... Все равно авз не запускается. Хаджак появляется(маргнет) и пропадает. Причем при запуске авз впервый раз при загрузке - он написал, что файл занят другой программой.

Переделал логи через ОСАм...
Посмотрите еще раз. Может еще что-то надо отключить?

**Brakses** · 20.06.2010, 00:55

У меня все началось вот с этого файла кстати

ifolder.ru/18228338

**AndreyKa** · 20.06.2010, 01:00

Отключите
Drivers:
"aex96hxm" (aex96hxm)
"aex96hxm" (aex96hxm)
"srosa" (srosa)
Logon:
"drvsyskit"
"mule_st_key"

**Brakses** · 20.06.2010, 01:12

Не помогло=(((((
Андрейка. Может тот файл, на который я дал ссылку посмотреть? может там что-то выяснится. Просто я фиксю, а оно новое появляется не профиксенное.=(
Вкладываю на всяк случай новые логи.

**Brakses** · 20.06.2010, 09:18

Я тут обратился на форум кашмарского. Они с таким случаем еще не сталкивались=( Ребят... Если там реально уже ничего не сделать -скажите. Я хоть буду настраиваться на переустановку винды... Т.к. переустановка - это недели 2 работы=(
Спасибо что вообще возитесь... А то я наверное уже всех тут достал=(

Добавлено через 32 минуты

Я пошел спать... Спасибо кто был сегодня сомной... А то было ощущение, что я был заброшен в тыл к Немцам во время ВОВ и никого рядом...
Я очень надеюсь, что еще кто-нибудь посмотрит и... может найдет решение моей проблеммы...
Всем СН.

Добавлено через 7 часов 24 минуты

Всем доброе утро.... Мне посоветовали выполнить вот такой скрипт. Но как его выполнить без АВЗ хрен знает... Может есть какая-нибудь альтернатива АВЗ, что бы просто тупо выполнить скрипт?

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','') ;
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.

**AndreyKa** · 20.06.2010, 10:20

Сообщение от Brakses

Андрейка. Может тот файл, на который я дал ссылку посмотреть?

Посмотрел. Вылечить компьютер из заражённой системы действительно очень тяжело.
Найдите какой-нибудь загрузочный CD диск. Загрузите с него компьютер и переместите в укромное место папки

Код:

\Documents and Settings\Toster\Application Data\drivers
\Documents and Settings\Toster\Application Data\m

и файлы:

Код:

 
\WINDOWS\system32\drivers\a1nb5ab1.sys
\WINDOWS\system32\wfsintwq.sys
\WINDOWS\system32\srosa2.sys

Затем загрузите компьютер нормально и сделайте логи по Правилам.

**Brakses** · 20.06.2010, 11:03

Есть хорошая новость=) Файлы все переместил и они вроде как не возобновились. Но так же и плохая новость. По прежднему АВЗ не запускается. А в логах ОСАМ по прежднму это сроса присутствует=(
вкладываю логи поновой....=(((( Блииин как это достало....

**AndreyKa** · 20.06.2010, 11:35

А папки переместили?
Если да, то проверьте компьютер этим - http://www.freedrweb.com/livecd

**Brakses** · 20.06.2010, 12:00

Да переместил=(
Все файлы снова посоздавались.
AndreyKa, Я с радостью делаю все инструкции. Но как я выше уже говорил. Я по какой-то причине не могу зайти на сайт др.веба и даже на ваш форум я зашел не понятно как. И еще одна странность. Вот создать тему могу. Читать другие могу. Но прочитать раздел ("Правила! Читать перед запросом о помощи! ") и другие разделы с различными инструкциями - не получается.

Прошу, пожалуйста. Выложите для меня эту утилитку на какой-нибудь ифолдер или другой файлообменник.
Я так понял из этого надо записать диск и с него загрузиться и провериться да?