Блокировка антивирусов

[Kuzz]

Отключете сеть.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\docume~1\de99~1\locals~1\temp\winnihik.exe');
 QuarantineFile('C:\WINDOWS\system32\NeroCheck.exe','');
 DeleteFile('C:\WINDOWS\system32\NeroCheck.exe');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\winnihik.exe');
 DeleteFileMask('c:\docume~1\de99~1\locals~1\temp\','win*.exe',false);
 DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225

Теперь можно включить сеть.
Повторить логи.
(Мы его таки добьем!)

[GeorgeM]

Сеть отключил
1. Done
2. Таких строчек нет...

[Rene-gad]

Логи ждем-сссс

[GeorgeM]

А сейчас строчки "O17..." появились...

[Kuzz]

На чистой машине скачайте CureIt.
Распакуйте его (Винрар-ом, к примеру)
Переименуйте _start.exe во что-то нейтральное (напр. 123.exe)
Запишите на компакт-диск.
Попробуйте просканировать систему таким средством.

Добавлено через 1 час 10 минут

Где взять CureIt?
Можете ли дать ссылку?

Заранее благодарю

Она в правилах в пункте 2 указана.

Вот здесь лежит
ftp://ftp.drweb.com/pub/drweb/cureit/
с разными именами файлов.

[GeorgeM]

Ну-да, вспомнил..., пункт 2 мне не удавался...

Блокировка антивирусов
Помогите!!!

Сайты Касперского и DrWeb не загружаются ни под каким видом!

Сейчас, при клике на ссылку IExplorer отваливается

[Kuzz]

Сейчас на рапиду скину.

Добавлено через 3 минуты

http://rapidshare.com/files/125431277/runner.exe.html

[GeorgeM]

К сожалению, скачать с рапида не удается((
Возможно ли переслать на mail?

Добавлено:
Предположу, что инсталляция тоже не пройдет - это одна из причин моей темы

[pig]

К слову: c:\docume~1\de99~1\locals~1\...
Это не Default User, в таком кривом виде пути на русском языке в короткую форму упаковываются. Скорее всего, речь идёт о личном профиле.

[GeorgeM]

В личном профиле тоже этих файлов нет...

Добавлено через 10 часов 32 минуты

...

[GeorgeM]

Kuzz
Helper



Регистрация: 11.12.2006
Адрес: UA,Днепр
Сообщения: 671
Репутация: 2536


На чистой машине скачайте CureIt.
Распакуйте его (Винрар-ом, к примеру)
Переименуйте _start.exe во что-то нейтральное (напр. 123.exe)
Запишите на компакт-диск.
Попробуйте просканировать систему таким средством.

БОЛЬШОЕ СПАСИБО!
1."Такое средство" помогло вылечить/обезвредить более 1900(!) файлов, включая и антивирусы... за 3,5 часа.

2. Перегрузился

3. Попробовал зайти на сайт Касперского. УСПЕХ!

4. Установил Касперского. УДАЧНО!

Но... обновление застопорилось из-за системных установок (точно не помню), может дело в

7. Отключите восстановление системы

?

Что необходимо сделать для удачного завершени?

Добавлено через 15 минут

Касперский обнаруживает какой-то sality.z

Добавлено через 24 минуты

Не думал, что буду так радоваться звуку визжащего поросенка

Добавлено через 1 час 17 минут

В "резервном хранилище системы" (D:\System Volume Information\_restore{...})Касперский уничтожил кучу программ Trojan-GameThief.Win32.OnLineGames.asv и вирусов Virus.Win32.Sality.z
Ну и по мелочи продолжает... Как забавно они повизгивают... Судя по шкале прогресса, это будет длиться еще часа 4.
Убавляю звук и ложусь спать

Добавлено через 3 часа 41 минуту

83% выполнения, что-то долго... (предлагает еще каждый день такую проверку делать )

Пора на работу

[GeorgeM]

Итак!
Пора ли включать "восстановление системы"?
Что-нибудь еще надо сделать?

[Kuzz]

Это хорошо, что удалось пролечить систему CureIt-ом.
Надеюсь, проверка Касперским закончилась?
Тогда повторите логи (начиная с 10-го пункта правил) для контроля.

Длительность первого сканирования KAV/KIS можно объяснить тем, что еще не созданы списки ранее проверенных файлов
и наличием большого количества найденного (на каждом из них антивирусу приходтся выполнять еще много дополнительных действий.)
В дальнейшем сканирование будет производиться быстрее.

Восстановление системы можно будет включить после окончания лечения.

[GeorgeM]

- Скажите, доктор, а я буду жить?
- ... А смысл?

[Kuzz]

Вроде чисто, но нужно убрать "хвосты":
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 DeleteService('aic32p');
 DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\asc3350p.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\asc3550.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\asc.sys');
end.

Портал интересует Ваше мнение о помощи в разделе "Помогите"
Особенно это:

И, пока Вы ещё здесь, нам важно ваше мнение.
Всё ли Вам было понятно?
Устраивает ли Вас форма, в которой проходило лечение?
Нашли ли Вы полезные материалы у нас?
Чего, по Вашему мнению, нам не хватает?

Вы можете его высказать в теме Скажи, что ты думаешь о Virusinfo

[GeorgeM]

1. Скрипт выполнил...
Однако этих файлов я не нашел(( (до выполнения скрипта)!

2. Отзыв написал)))

[Kuzz]

Их и не должно быть.
2 команды скрипта устраняют "последствия" в реестре, а 3 - это вроде моей личной паранои))