Проблемы после трояна

Здравствуйте.
У меня был троян(может ещё есть). После перезапуска компьютера перестал запускаться антивирус(NOD32),пишет "not valid Win32 apllication".
NOD32 кстати вирус не уловил. О том что у меня троян я узнала через онлайн проверку Касперского.
Firewall каждый раз выключен.
Компьютер в безопасном режиме не запускается. Просто когда доходит до загрузки Windows перезапускается в обычном режиме.
Пробовала запустить ваш скрипт из раздела о том как запускать в безопасном режиме если обычным способом не получается.
Заметила что в Task manager появился процесс flec006.exe который выгрузить нельзя.
Мой товарищ помог мне сделать логи и мы послали их вам. После запуска полученого от вас скрипта,flec006.exe пропал из Task manager.
Антивирус по прежнему не запускается.
Я сделала логи ещё раз.
Почему то HiJackThis работает только когда запущен Skype. Только запущен,без логина. Подругому тут же после запуска HiJackThis его выкидываетю
Посылаю логи вам.
Помогите пожалуйста.
Заранее большое спасибо.
С уважением Нелли.

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
QuarantineFile('c:\documents and settings\nellechka\application data\m\flec006.exe','');
DeleteFile('c:\documents and settings\nellechka\application data\m\flec006.exe');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
выполните пункт 2 правил
логи повторите ...
приложите
B_d.txt и boot_clr_B_d.log

Пункт 2 не сделала потому что компьютер не загружается в безопасном режиме. Можно ли сделать пункт 2 в обычном режиме?
Спасибо.

- отключитесь от интернета ...
- пуск - выполнить msconfig отключите автозагрузку
- заново рекомендации из поста 2

Что значит отключить автозагрузку?
Это в msconfig в язычке "Start up" убрать все галочки?
С ctfmon.exe тоже? (Я слышала что если с него снять то может не подняться компьютер).
Спасибо

Да, снять галочки с отключаемого.
ctfmon.exe - переключатель раскладки клавиатуры, система без него прекрасно живёт.

архив с карантином:
[URL]http://virusinfo.info/showthread.php?t=28827[/URL]
Сделала всё что сказали.
Пункт 2 тоже.
Dr.Web нашел и удалил flec006.exe
Что делать теперь чтобы антивирус тоже запускался?
Спасибо

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

кстати опция "Shoe hidden files" в Tools отсутствует.
Нужно ли вернуть автозагрузку или пока нет?

для начала нужно сделать новые логи ...

Это были новые логи

где были ?

я присоединяла

пофиксите ....
[code]
O2 - BHO: (no name) - {1d1b60fd-b21f-4b9a-8a5f-64e8544828d7} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
[/code]
выполните скрипт ....
[code]
begin
ExecuteRepair(10);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]

Сделала

какие-то проблемы остались ?

"show hidden files" нет
антивирус не запускается. Пишет "not valid win32 application"
Нужно ли вернуть автозагрузку? Если да то на что?

[QUOTE=nelly83;274142]"show hidden files" нет
[/QUOTE]
вы пробовали после скрипта ?
[QUOTE=nelly83;274142]
антивирус не запускается. Пишет "not valid win32 application"
[/QUOTE]
антивирус придется переустановить ..
[QUOTE=nelly83;274142]
Нужно ли вернуть автозагрузку? [/QUOTE]
да как хотите ...

Пробовала после скрипта
Спасибо большое
антивирус переустановлю

у меня вопрос:
как мне вернуть опцию "Shoe hidden files" в Tools
спасибо

файлы отображаются ... а галочка не стоит ... правильно я понял ?

Скрытые файлы и папки не отображаются и опции этой(чтобы поставить галочку) нет вообще.

сохраните содержимое в блокноте как 1.reg запустите ...
[code]
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[/code]
пуск - віполните regsvr32 /i shell32.dll

перегрузитесь ....

Огромное вам спасибо!
Всё вернулось на свои места

скажите пожалуйста что это значит и что с этим делать?

сохраните содержимое в блокноте как 1.reg запустите ...
[code]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[/code]

не помогло
та же надпись выскакивает

пуск - выполнить ... regedit
сделайте экспорт ключа [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice] ....

сделала

[size="1"][color="#666686"][B][I]Добавлено через 39 секунд[/I][/B][/color][/size]

послать вам?

запаковать и прикрепить к сообщению ....

Вот

сохраните содержимое в блокноте как 1.reg запустите ...
[code]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule]
"Description"="Позволяет настраивать расписание автоматического выполнения задач на этом компьютере. Если эта служба остановлена, эти задачи не могут быть запущены в установленное расписанием время. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены."
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Планировщик заданий"
"Group"="SchedulerGroup"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,2e,00,03,\
00,01,00,00,00,70,17,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
73,00,63,00,68,00,65,00,64,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\
00
"ServiceMain"="SchedServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[/code]
перегрузитесь ...

нужно делать:
пуск - віполните regsvr32 /i shell32.dll
1.reg запустила. Не помогло

авз - диспетчер служб и драйверов - службы - все сделайте лог запакуйте и приложите ....

это "сохранить протокол"?

да

вот

выполните скрипт ....
[code]
begin
SetServiceStart('RPCSs', 2);
RebootWindows(true);
end.
[/code]

не помогло
та же надпись выскакивает

заново ...
[QUOTE=V_Bond;274603]авз - диспетчер служб и драйверов - службы - все сделайте лог запакуйте и приложите ....[/QUOTE]

вот

службы запустились ... проблемы не должно быть ...
какая прграмма выдает ошибку ?