Вирусы все погубили (К16)

**polword** · 26.08.2010, 14:56

Касперского перед выполнением скрипта отключали?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Delion** · 26.08.2010, 16:17

Он в процессах висел, отключить было никак, удаляться не хотел, но кое-как с помощью kavremover раза с 5 удалился. Выполнил последний скрипт, компьютер перезагрузился. Входит по прежнему с трудом, но пока еще входит.

**polword** · 26.08.2010, 17:46

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RebootWindows(true);
end.

После перезагрузки:
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- Сделайте лог MBAM

**Delion** · 26.08.2010, 19:58

Логи.

**polword** · 26.08.2010, 20:30

- удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.


Зараженные папки:
C:\Program Files\Def Group\PC Defender (Rogue.PCDefender) -> No action taken.
C:\Documents and Settings\All Users\Главное меню\Программы\PC Defender (Rogue.PCDefender) -> No action taken.

Зараженные файлы:
C:\Program Files\Def Group\PC Defender\uninstall.bat (Rogue.PCDefender) -> No action taken.
C:\Documents and Settings\All Users\Главное меню\Программы\PC Defender\PC Defender.lnk (Rogue.PCDefender) -> No action taken.
C:\Documents and Settings\All Users\Главное меню\Программы\PC Defender\Uninstall.lnk (Rogue.PCDefender) -> No action taken.

повторите лог MBAM

**Delion** · 27.08.2010, 00:50

Выкладываю новые логи. Из проблем осталось визуально:
1. При запуске выскакивает svchost.exe ошибка приложения, память не может быть read. Потом приходится вызывать диспетчер и через explorer запускать рабочий стол.

**polword** · 27.08.2010, 00:57

- Выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 RebootWindows(true);
end.

**Delion** · 27.08.2010, 01:14

Скрипт выполнил. Но пока все осталось по прежнему.

**polword** · 27.08.2010, 01:17

- сделайте лог Combofix

**Delion** · 27.08.2010, 01:42

Лог combofix.

**polword** · 27.08.2010, 07:03

что с проблемой?

**Delion** · 27.08.2010, 11:24

Все стало совсем плохо. К вышеуказанным проблемам добавилась еще одна, перестал работать тачпад и мышь.

**polword** · 27.08.2010, 11:34

WebMoney Advisor - установите поновому
- Удалите ComboFix

**Delion** · 27.08.2010, 14:34

Никаких изменений.

Добавлено через 16 минут

Запустил WinSockXPFix комп перезагрузился и все стало нормально, вот только тоучпад не работает, висит в диспетчере знак вопроса, подключаю usb мышь тоже самое, обнаруживается но устанавливать не хочет.

Добавлено через 1 час 36 минут

При загрузке опять появилась ошибка svchost.exe ошибка приложения, память не может быть read.

**polword** · 27.08.2010, 14:53

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

**Delion** · 27.08.2010, 17:46

Все сделал, 4 уязвимости microsoft, 2 Adobe flash, 1 java. Но ничего не изменилось.

Добавлено через 50 минут

Удалось исправить реестр. Но ошибка svchost.exe ошибка приложения, память не может быть written все равно выскакивает.

**Delion** · 28.08.2010, 15:22

На всякий случай выкладываю новые логи.

**polword** · 29.08.2010, 11:19

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\temp\kls33A2.tmp','');
 DeleteFile('C:\WINDOWS\temp\kls33A2.tmp');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip