Не запускаются антивирусы

**Nelbolgi** · 01-06-2010, 03:49 AM

Привет. Перед Новым Годом словил окно с требование отправить смс... самостоятельно избавился от этой гадости, но программы связанные с безопасностью так и не работают. Прошу помочь!
Логи AVZ высылаю. Лог HijackThis выслать не могу, программа не запускается (проблема с запретом администраторских прав, по-видимому так же из-за вируса).
Заранее спасибо за помощь и потраченное время!!!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 01-06-2010, 04:18 AM

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Code:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 QuarantineFile('C:\WINDOWS\system32\xcghoi.dll','');
 DelBHO('{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}');
 DelBHO('{B863453A-26C3-4e1f-A54D-A2CD196348E9}');
 DelBHO('{461CC20B-FB6E-4f16-8FE8-C29359DB100E}');
 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
 DelBHO('{855F3B16-6D32-4fe6-8A56-BBB695989046}');
 DeleteService('sysdrv');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv.sys','');
 DeleteService('RemoveAny');
 QuarantineFile('C:\WINDOWS\system32\Drivers\removeany.sys','');
 QuarantineFile('C:\WINDOWS\system32\muangsys.dll','');
 DeleteFile('C:\WINDOWS\system32\Drivers\removeany.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv.sys');
 DeleteFile('C:\WINDOWS\system32\xcghoi.dll');
 DeleteFile('J:\autorun.inf');
 DeleteFileMask('%tmp% ','*.* ',true );
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\system32\xcghoi.dll', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Code:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

4. Выполните скрипт в AVZ:

Code:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=66064

5. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**Nelbolgi** · 01-06-2010, 05:11 AM

Всё выше перечисленное выполнил.
HijackThis по-прежнему не запускается.

**Aleksandra** · 01-06-2010, 05:21 AM

Пока выполните http://virusinfo.info/showthread.php?t=3519

**Nelbolgi** · 01-06-2010, 05:47 AM

Выполнил.

**Aleksandra** · 01-06-2010, 09:01 AM

Ответ http://216.246.90.119/showpost.php?p...postcount=5047

Добавлено через 3 часа 1 минуту

В логах также не увидела ничего зловредного. Кроме того, что не хочет запускаться Hijackthis еще есть проблемы?

**Nelbolgi** · 01-06-2010, 01:08 PM

Помимо утилиты HijackThis, не запускается мой базовый антивирус Symantec и Dr. Web CureIt!.

**thyrex** · 01-06-2010, 03:11 PM

Отчет GSI (ссылка в подписи) сделайте

**Nelbolgi** · 01-06-2010, 04:55 PM

Готово.

**thyrex** · 01-06-2010, 08:34 PM

Удалите в реестре

Code:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{31ac968e-bfb1-4cce-81e6-5b8cc2a799be}
C:\Program Files\Symantec

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{79bc0e03-f0b5-48b1-a751-d23fd4c876fc}
C:\Program Files\Common Files\Symantec Shared

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{09bbcb63-4fb5-41bf-a92d-ecbde83bbe18}
C:\Program Files\Trend Micro

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{4e0e6a8c-7e4f-4e10-8567-0a4de59c43c8}
C:\Program Files\Online Solutions