Вирус

Здравствуйте. При загрузке windows у меня стали появляться сообщения о том что не допущен к выполнению код, содержащийся в svchost.exe (или что-то типа того). Я проверил комп антивирусом, нашёл и удалил файл c:\program files\internet explorer\SetupApi.dll (и в Опере аналогичный). После этого при запуске системы и после различных действий появляется сообщение "Ошибка в setupapi.dll", также ошибка в svchost.exe. Кроме того, при запуске появляется сообщение "Generic Host Process for Win32 Services вызвало проблему и требует завершения... Отправить отчёт?". Я нажимаю "не отправлять" и появляется сообщение, что через минуту система будет перезагружена. Вообще непонятно откуда берутся эти сообщения, в атозагрузке вроде не нашёл ничего лишнего. Помогите, пожалуйста, решить проблему.

На время выполнения скрипта, отключитесь от сети, и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
SetServiceStart('smtpdrv', 4);
SetServiceStart('runtime2', 4);
StopService('Ejo05');
SetServiceStart('Ejo05', 4);
SetServiceStart('Microsoft Internet Explorer', 4);
BC_QrFile('C:\WINDOWS\system32\Drivers\Ejo05.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ejo05.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_qrSvc('runtime2');
BC_qrSvc('Ejo05');
BC_qrSvc('smtpdrv');
BC_qrSvc('Microsoft Internet Explorer');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ejo05');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Microsoft Internet Explorer');
BC_DeleteFile('C:\WINDOWS\system32\_svchost.exe');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=16535[/url] , как написано в прил.3 правил, скачайте версию 2.02 Hijackthis по ссылке в правилах и повторите логи, начиная с п. 10 правил.

Выполнил скрипт, повторил логи при отключённой сети и мониторе. Пока видимых изменений нет.
Файл сохранён как080117_055557_virus_478f424d79cab.zipРазмер файла18824MD5e79226bb975dd8282773aa4d8bea8f0d

Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: abc32reg - C:\Documents and Settings\All Users\Документы\Settings\abc32.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ejo05', 'Start');
RebootWindows(true);
end.
[/code]
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Ejo05.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Ejo05.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Ejo05');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет непустой.
Сделайте новые логи.

Выполнил скрипты, но карантин пустой (только ini-файлы).

Один зловред упрямый остался, никак не удаляется...

Попробуем такой скипт:
[code]
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ejo05\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Ejo05.sys');
BC_DeleteSvc('Ejo05');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Ejo05.sys');
BC_DeleteSvc('symavc32');
BC_DeleteSvc('smtpdrv');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки прикрепите файл [b]boot_clr.log[/b] из папки с AVZ и повторите лог syscheck.

Появился файл в карантине:
Файл сохранён как 080117_070537_virus_478f52a1ccacf.zip

Размер файла
603

MD5
689dadf16a1daad9a5a95eadec5edd9a

А может попробовать удалить эти файлы из Windows PE?

Отлично, наши победили! ;) PE не нужен.

В логах чисто.
Рекомендуется отключить все что вам не нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Правда в карантин этот клоп так и не попал, хотя в ini-файле и в логе написано, что добавлен. Наверно, avira его прибила (ишь, на готовенькое-то ;))?

В логах чисто, но сообщения всё также появляются! Единственное, что изменилось - при нажатии "не отправлять отчёт" не появляется сообщение о перезагрузке... Сейчас проверил диск C: Avir'ой - ничего не найдено

Проверьте, присутствует ли файл C:\WINDOWS\system32\setupapi.dll ?
Если нет - надо его восстановить из дистрибутива или скопировать с другого ПК.

Да, этот файл присутствует :(

Восстановление системы у вас включено (каюсь, не обратил внимание раньше) - отключите немедленно, а то восстановятся ваши зловреды!

Для решения оставшейся проблемы предлагаю:

1. Выполнить в консоли команду
[b]sfc /scannow[/b]
Ее выполнение требует наличия в дисководе установочного диска вашей версии Windows.

2. Установить пакет критических обновлений, вышедших после SP2. Скачать его можно тут: [url]http://poleznosti.ru/soft/file_catalog/?file_id=20060821091454[/url].

Вы понимаете, я бы отключил восстановление, но дело в том, что попытка открыть свойства системы - это одно из тех действий, вместо которого вылетает ошибка setupapi :)
[quote=Bratez;173875]Установить пакет критических обновлений[/quote]
У меня пиратский windows, эти обновления не заставят меня регистрироваться?

Из этого места не должны заставить. Спецточка для таких.

В общем, установил обновления. Установка закончилась сообщением, что система будет перезагружена через несколько секунд, это нормально? Сообщения теперь не появляются, но в настройки системы всё-равно зайти нельзя (или "открыть с помощью"). И это только видимые проблемы...

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Помогло?

[quote]AVZ => Файл => Мастер поиска и устранения проблем[/quote]
Проблемы не обнаружены :(

[size="1"][color="#666686"][B][I]Добавлено через 9 часов 19 минут[/I][/B][/color][/size]

Я так понимаю, вирусов нет, раз логи чистые? И своим антивирусом приверил все диски - ничего не найдено. Тогда как восстановить нормальную работоспособность системы? Какие для этого существуют универсальные способы (я просто не в курсе)?
"sfc /scannow" и "AVZ => Файл => Мастер поиска и устранения проблем" не помогает.

Uppp..
Ну так как всё-таки, может есть какие-нибудь проверенные программы для этого? Или теперь только windows переустанавливать? Реестр проверял - не помогло. В безопасном режиме кстати тоже самое.

Попробуйте такой скриптик:
[code]begin
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/code]

А можно узнать, что делает этот код? В настройки после него всё также не зайти, но зато пропали обои с рабочего стола, в моём компьютере появился ярлык "веб-папки", изменилась конфигурация меню Пуск (из того, что я заметил)... :)