После загрузки ОС не запускается ни одна программа

Printable View

08.04.2010, 21:44
Оцеола

После загрузки ОС не запускается ни одна программа

Следуя правилам произвел проверку AVPTool. AVZ запускается только на англ. языке. Не могу найти в "стандартных скриптах" указанный в правилах.
08.04.2010, 22:12
pig

По номерам ищите. Сначала #3, затем #2.
09.04.2010, 21:43
Оцеола

Все сделано согласно правилам
10.04.2010, 09:21
PavelA

Проверьтесь TDSSKiller
Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe','');
DeleteService('ASKUpgrade');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\AskService.exe','');
DeleteService('ASKService');
QuarantineFile('C:\Documents and Settings\Бартенев Виктор\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe','');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
QuarantineFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll','');
DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\Documents and Settings\Бартенев Виктор\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\AskService.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи после перезагрузки.
10.04.2010, 11:45
Оцеола

Выполнено
11.04.2010, 11:36
AndreyKa

[QUOTE='Оцеола;618149']После загрузки ОС не запускается ни одна программа [/QUOTE]А как вы AVZ запустили?
Norton AntiVirus какого года у вас? Зачем он нужен?
11.04.2010, 11:50
Оцеола

AVZ запускал как прописано в правилах (почему то не запускался на руссом). Norton AntiVirus не поьзуюсь. Лежит где-то в инсталлах, окошко всплывает иногда, я его убераю.
13.04.2010, 07:56
polword

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
13.04.2010, 22:07
Оцеола

выполнено
13.04.2010, 22:23
polword

1. удалить в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.

Зараженные папки:
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.

Зараженные файлы:
D:\System Volume Information\_restore{13349A8B-0A42-4AB9-B590-B3E578F292B2}\RP227\A0021977.EXE (Malware.Packer.Morphine) -> No action taken.
D:\System Volume Information\_restore{13349A8B-0A42-4AB9-B590-B3E578F292B2}\RP227\A0021978.EXE (Malware.Packer.Morphine) -> No action taken.
D:\System Volume Information\_restore{13349A8B-0A42-4AB9-B590-B3E578F292B2}\RP227\A0021980.EXE (Malware.Packer.Morphine) -> No action taken.
D:\System Volume Information\_restore{13349A8B-0A42-4AB9-B590-B3E578F292B2}\RP227\A0021986.EXE (Malware.Packer.Morphine) -> No action taken.
D:\System Volume Information\_restore{B9EFAB21-794B-47F0-B8A2-12FC12562F81}\RP29\A0002107.EXE (Malware.Packer.Morphine) -> No action taken.
D:\System Volume Information\_restore{B9EFAB21-794B-47F0-B8A2-12FC12562F81}\RP30\A0002269.EXE (Malware.Packer.Morphine) -> No action taken.
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\+L¦T+=~1\LOCALS~1\Temp\avz_4084_1.tmp ','');
QuarantineFile('C:\Documents and Settings\+L¦T+=~1\LOCALS~1\Temp\avz_2932_1.tmp','');
QuarantineFile('C:\System Volume Information\_restore{8B4417B2-BA54-4DF6-B8D8-C54B940A5C87}\RP1\A0000009.exe','');
QuarantineFile('D:\System Volume Information\_restore{13349A8B-0A42-4AB9-B590-B3E578F292B2}\RP227\A0021971.EXE','');
QuarantineFile('D:\Ира\А.Кураев о Гарри Поттере.exe','');
QuarantineFile('D:\Игры\7-Wonders-2-setup.exe','');
QuarantineFile('D:\Игры\Infinite_Jigsaw_Puzzle_Rus_setup.exe','');
QuarantineFile('D:\Муз. программы\AudioRealism\Bassline\UNWISE.EXE','');
QuarantineFile('D:\Муз. программы\String Studio 1.0\UNWISE.EXE','');
QuarantineFile('D:\Муз. программы\CS-80V\UNWISE.EXE','');
QuarantineFile('D:\Музыкальные програмы\Nuendo 3\UNWISE.EXE ','');
DeleteFile('C:\Documents and Settings\+L¦T+=~1\LOCALS~1\Temp\avz_2932_1.tmp');
DeleteFile('C:\Documents and Settings\+L¦T+=~1\LOCALS~1\Temp\avz_4084_1.tmp');
DeleteFile('C:\System Volume Information\_restore{8B4417B2-BA54-4DF6-B8D8-C54B940A5C87}\RP1\A0000009.exe');
DeleteFile('D:\System Volume Information\_restore{13349A8B-0A42-4AB9-B590-B3E578F292B2}\RP227\A0021971.EXE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог MBAM
14.04.2010, 23:45
Оцеола

Вложений: 1

выполнено
15.04.2010, 07:09
polword

Обновляйте дырявую систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://www.adobe.com/go/EN_UK-H-GET-READER"]Adobe Reader 9.3[/URL] или удалите старый.
15.04.2010, 23:02
Оцеола

выполнено
16.04.2010, 23:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]