Не запускается NOD32

Началось все с того, что перестал запускаться центр управления NOD32. При сканировании диска ничего не находилось. Подключил жесткий диск к другому ПК, просканировал на свежеобновленной базе, в нескольких местах был удален файл SystemRestt.exe. Некоторые глюки пропали. Но, центр управления NOD32 так и не запускается. если попробовать запустить файл nod32kui.exe, ОС выдает сообщение о том что этот файл не найден. Если дабавить в конец файла подчерк, запускается, но завершает работу по тому как не может связаться со службой ядра. Ну а nod32krn не запускается с теми же сообщениями об отсутствии файла. И тоже срабатывает если изменить имя выполняемого файла. Явно в системе блокируются именно эти мена файлов. HijackThis также запустился только с измененным файлом.

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SystemRestt.exe','');
DeleteFile('C:\WINDOWS\system32\SystemRestt.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст.
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=18133[/url]).
Откройте в AVZ Менеджер ActiveSetup и удалите строчку с упоминанием SystemRestt.exe.
Сделайте новый лог syscheck (п.10 правил).

Все сделал.

Проблема не решилась?

Неа, Nod ведет себя точно так же. :(

Попробуйте переустановить NOD.

[QUOTE=Maxim;188572]Попробуйте переустановить NOD.[/QUOTE]
+ 1

Предварительно деинсталлируйте NOD32 и удалите папку ESET в Program Files.

Да, да, я как раз только что это сделал, результат - тот же. Может кроме SystemRestt еще какая зараза сидит?

[size="1"][color="#666686"][B][I]Добавлено через 46 секунд[/I][/B][/color][/size]

Предварительно деинсталировал, но без удаления, сейчас попробую.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Удаление после деинсталяции с последующей инсталяцией тоже не помогло. Тоже самое сообщение при попытке запустить файл, и нормальная попытка запуститься при переименовывании.

Сделайте следующее. Деинсталлируйте NOD32 и перезагрузитесь. Удалите папку ESET. Скачайте утилиту neocleaner (например, здесь [url]http://topdownloads.ru/search.php?ss=neocleaner[/url]) и почистите ей систему (особенно реестр). После чего попробуйте поставить NOD по новой.

P. S. У Вас NOD лицензионный? Какая версия и сборка?

NOD вчера купленый только. Версия - последняя, с сайта качнул. Версия 2277. Только вот антивирусную базу обновит не могу. Центр то не запускается :(

[QUOTE=dreamair;188598]NOD вчера купленый только.[/QUOTE]
OK.
[QUOTE=dreamair;188598]Версия - последняя, с сайта качнул. Версия 2277.[/QUOTE]
Это версия вирусной базы. Я не про это спрашивал.:)
[QUOTE=dreamair;188598]Только вот антивирусную базу обновит не могу. Центр то не запускается :([/QUOTE]
Попробуйте проделать то, что я Вам написал.

Реестр подчистил, вместе со всем остальным заодно. NOD деинтсалировал, перезагрузился, удалил папку, устанговил, перезагрузился - результат тот же :(

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

Хочу попробовать еще Dr Web - ом протестить, может NOD чего не видит, хотя давно уже им пользуюсь, обычно он как раз таки и находит там где другие не видят...

Выполните такой скрипт:
[code]
begin
if RegKeyExists('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe') then
begin
AddToLog('nod32krn block found');
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe');
end;
if RegKeyExists('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe') then
begin
AddToLog('nod32kui block found');
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe');
end;
SaveLog( GetAVZDirectory + 'test.log');
end.[/code]
Затем найдите в папке с AVZ файл test.log и запостите сюда его содержимое, если он окажется не пуст.

После выполнения последнего скрипта NOD разблокировался. Тут же после обновления нашел в одной из директорий SystemRestt.exe.

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Теперь каждые 10 минут NOD выдает сообщение:
Файл D:\...SystemRestt.exe
Событие в новом файле, созданном приложением C:\WINDOWS\system32\xcopy.exe. Файл был перемещен в карантин.

Сканирование C:\WINDOWS\system32 результатов не дает.

в какой папке нашел ?

Опять появился. Каждые минуты 3 наверное создается.
В папке D:\Flash\ - Это каталог куда у меня данные с флешки копируются на случай сгорания флехи. Вещь полезная, но похоже именно так я и подцепил эту заразу.
Но создается он вот этим приложением, как сообщает NOD: C:\WINDOWS\system32\xcopy.exe
В то же время в C:\WINDOWS\system32\ ничего не находит.

сделайте новые логи ...

[QUOTE=V_Bond;189010]сделайте новые логи ...[/QUOTE]

virusinfo_syscheck.zip?

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Причем этот файлик - xcopy в system32 виден невооруженным взглядом, при удалении через несколько секунд оживает.

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

Только что при работе с Excel хотел сделать поиск слова, нажал Ctrl+F начал набирать символы искомого слова, и неожиданно поисковое окно заполнилось словом testнеоднократно повторенным! Кошмар! :) Что это!?

[quote=dreamair;189012]Только что при работе с Excel хотел сделать поиск слова, нажал Ctrl+F начал набирать символы искомого слова, и неожиданно поисковое окно заполнилось словом testнеоднократно повторенным! Кошмар! :) Что это!?[/quote]
Проделки AVZ ;) Ничего страшного.

Только что полученные логи:

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\SystemRestt.exe','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\SystemRestt.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

К сожалению созданный карантин тут же куда то унес NOD 32 :( А повторный запуск данного скрипта не создал карантина. Xcopy в system32 так и сидит :( как же вывести эту гадость?

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Вроде нашел куда его NOD унес, посмотрите пожалуйста то ли это? Вроде как в соответствующем каталоге AVZ файлик был, но сам AVZ из файл-просмотр карантина ничего не показывает, сделал архив вручную и отправил.

windows\system32\xcopy.exe - это законный файл.
он и выполняет копирование с флэшки, это ж вы так настроили.

Очевидно, флэшка теперь очищена от заразы. Проверьте, не осталось ли копий на D:, где у вас дублировалось ее содержание.

Нет, нет! Это не мое!
Я сделал D:\1C_Back\save_flash.bat который содержит:
IF EXIST F:\Эксперт xcopy D:\1C_Back\Expert.zip F:\Эксперт /D /R /Y /Q
IF EXIST D:\1C-EXP_Flash xcopy F:\*.* D:\1C-EXP_Flash /D /EXCLUDE:Исключения.txt /E /H /R /Y /Q

А C:\WINDOWS\system32\xcopy.exe - это не мое!! И этот файл чудесным образом восстанавливается если его удалить! И именно на него ругается NOD32 когда в каталоге D:\1C-EXP_Flash в очередной раз появляется SystemRestt.exe...
А! Я кажется понял и тут же проверил на соседнем компе. Xcopy - это собственно и есть файл который выполняет команду xcopy в bat файле! и восстанавливается чудесным образом он самой виндой! Просто SystemRestt.exe также закидывался этой командой, поэтому на него NOD32 и ругался!
Значит все в порядке. Спасибо огромное!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\avz00001.dta - [B]IRC-Worm.Win32.Delf.z[/B] (DrWEB: Trojan.DownLoader.46389)[/LIST][/LIST]