При запуске какой-либо программы спрашивает через что открывать. После установки KAV не запускается. Похоже вирусы ничего не дают сделать.
Printable View
При запуске какой-либо программы спрашивает через что открывать. После установки KAV не запускается. Похоже вирусы ничего не дают сделать.
[CODE]Восстановление системы: включено
[/CODE]
Отключить!
Это ваше?
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:9050[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9A2B4FC-48C3-44AC-835C-B011331E44EB}: NameServer = 85.255.112.175,85.255.112.179
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF7714C1-D3FF-4490-8DD7-A6E8FAD36F38}: NameServer = 85.255.112.203,85.255.112.77
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.203,85.255.112.77
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.203,85.255.112.77
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.203,85.255.112.77
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.203,85.255.112.77
[/CODE]
Если после этого у вас пропадёт интерент, то в настройках сетевого подключения укажите DNS адреса выданные вашим провайдером.
Отключитесь от сети и выгрузите ваш фаервол.
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.com','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxbutfaompfvkfrmowqyrptklxejtmoyqj.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxubqxfbjlqjnsrpuwniyxpexyuriwqodu.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxoiqaoyalyrqmupobutehyibljxdjluul.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxjlkqyxeskcyavpybvuordxkcodoilmna.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxiktklxeyxmemkvrcppglrvkrvuwqbufa.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxiewftcxhrmysjmuaofuacmbeifqbmsbt.sys','');
QuarantineFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP34\A0044714.exe','');
QuarantineFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP34\A0044234.exe','');
QuarantineFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP30\A0042646.exe','');
QuarantineFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP30\A0041813.exe','');
DeleteFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP30\A0041813.exe');
DeleteFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP30\A0042646.exe');
DeleteFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP34\A0044234.exe');
DeleteFile('C:\System Volume Information\_restore{2B1FB6A7-2C6D-4596-A725-C456A04BB7B9}\RP34\A0044714.exe');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxbutfaompfvkfrmowqyrptklxejtmoyqj.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxiewftcxhrmysjmuaofuacmbeifqbmsbt.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxiktklxeyxmemkvrcppglrvkrvuwqbufa.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxjlkqyxeskcyavpybvuordxkcodoilmna.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxoiqaoyalyrqmupobutehyibljxdjluul.sys');
DeleteFile('C:\WINDOWS\system32\drivers\gaopdxubqxfbjlqjnsrpuwniyxpexyuriwqodu.sys');
DeleteFile('C:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\svchost.com');
BC_ImportAll;
ExecuteRepair(1);
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=43616"]http://virusinfo.info/upload_virus.php?tid=43616[/URL]
Повторите логи.
После выполнения скрипта в автозагрузке добавился файл KAV'a, но сам КАВ не запустился. Авторан удалился.
Файл на карантин отправил.
Извиняюсь в прошлый раз не мог отключить удаление точек восстановления, потому что при нажатии на св-ва компьютера, выходило отсутствует какой-то файл в формате dll. Сейчас перед выполнением скриптов восстановление системы отключил.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\systemroot\system32\drivers\gaopdxjmsqrvkymulvbrpafrnopevdyicqjdkh.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделайте полную проверку CureIT и повторите логи...
Проверка проведена.
Каждый раз при загрузке системы вылазиет окошко настройки системы. Там стоит отметка на Выборочный Запуск, уже можно сменить на Обычный Запуск?
Логи
У меня все отлично работает. Но никто так и не ответил на вопрос, можно ставить на Обычный Запуск? :)
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
[/CODE]
Ставьте. В логах ничего подозрительного.
[URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Установите Service Pack 3[/URL] (может потребоваться активация) + последующие обновления.
Установите Adobe Reader 9.1 или деинсталлируйте старый.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]38[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\_restore{2b1fb6a7-2c6d-4596-a725-c456a04bb7b9}\rp30\a0041813.exe - [B]HackTool.Win32.Wzbrute.a[/B] ( DrWEB: Tool.Bruteforce, BitDefender: Trojan.Hacktool.Wzbrute.A )[*] c:\system volume information\_restore{2b1fb6a7-2c6d-4596-a725-c456a04bb7b9}\rp30\a0042646.exe - [B]HackTool.Win32.Wzbrute.a[/B] ( DrWEB: Tool.Bruteforce, BitDefender: Trojan.Hacktool.Wzbrute.A )[*] c:\system volume information\_restore{2b1fb6a7-2c6d-4596-a725-c456a04bb7b9}\rp34\a0044234.exe - [B]HackTool.Win32.Wzbrute.a[/B] ( DrWEB: Tool.Bruteforce, BitDefender: Trojan.Hacktool.Wzbrute.A )[*] c:\system volume information\_restore{2b1fb6a7-2c6d-4596-a725-c456a04bb7b9}\rp34\a0044714.exe - [B]HackTool.Win32.Wzbrute.a[/B] ( DrWEB: Tool.Bruteforce, BitDefender: Trojan.Hacktool.Wzbrute.A )[*] c:\windows\system32\drivers\gaopdxbutfaompfvkfrmowqyrptklxejtmoyqj.sys - [B]Trojan.Win32.Tdss.ysn[/B] ( DrWEB: BackDoor.Tdss.129 )[*] c:\windows\system32\drivers\gaopdxiewftcxhrmysjmuaofuacmbeifqbmsbt.sys - [B]Trojan.Win32.Tdss.yso[/B] ( DrWEB: BackDoor.Tdss.129 )[*] c:\windows\system32\drivers\gaopdxiktklxeyxmemkvrcppglrvkrvuwqbufa.sys - [B]Trojan.Win32.Tdss.ysp[/B] ( DrWEB: BackDoor.Tdss.129 )[*] c:\windows\system32\drivers\gaopdxjlkqyxeskcyavpybvuordxkcodoilmna.sys - [B]Trojan.Win32.Tdss.ysq[/B] ( DrWEB: BackDoor.Tdss.129 )[*] c:\windows\system32\drivers\gaopdxoiqaoyalyrqmupobutehyibljxdjluul.sys - [B]Trojan.Win32.Tdss.ysr[/B] ( DrWEB: BackDoor.Tdss.129 )[*] c:\windows\system32\drivers\gaopdxubqxfbjlqjnsrpuwniyxpexyuriwqodu.sys - [B]Trojan.Win32.Tdss.yss[/B] ( DrWEB: BackDoor.Tdss.129 )[/LIST][/LIST]