Система ведет себя крайне странно..

[Martynov]

Здравствуйте.
Рассказываю предысторию.. ноут начал сильно тупить.. система установлена Виндовс ХР Хоум Едишон сп3 рашен.. антивирь НОД32 4.2, обновляется нормально и своевременно..

Как лечил.. Я повыключал всякие надстройки в ИЕ.. и еще поубивал несколько процессов, которые грузили проц и память.. ноут немного задышал.. но остались проблемы - главная из которых - Не работает авто-обновление.. Сервис БИТС вообще не стартует, файл не находится.. и вообще ощущаю присутствие зверьков в системе..

Еще пропадает окно "Выполнить" - я нажимаю Пуск - Выполнить.. оно мелькает на долю секунды и исчезает.. батч-файлы тоже не выполняются.. я хотел запустить регедит, не смог..

Чтобы обойтись малой кровью - я пытался накатить поверх системы СервисПак3 из дистрибутива, он доходит процентов до 20, после чего говорит "недостаточно полномочий там на что-то" примерно сразу после исследования системы.. запускается под админом..

ДрВеб в безопасном режиме прогнал, почти ничего не нашел.. файлов 5 может вытер..

Остается конечно последний аргумент - переустановить систему полностью с нуля, но это как-то совсем не хочется делать.. Спасайте меня гуру, плизззз

[polword]

1.Профиксите в HijackThis

Код:

R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 109.94.220.65 www.vkontakte.ru
O1 - Hosts: 109.94.220.65 www.vk.com
O1 - Hosts: 109.94.220.65 vkontakte.ru
O1 - Hosts: 109.94.220.65 vk.com
O1 - Hosts: 109.94.220.65 www.odnoklassniki.ru
O1 - Hosts: 109.94.220.65 odnoklassniki.ru
O2 - BHO: TBSB00196 - {1236D836-E9BA-4175-894F-2072A14D5A26} - C:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
  DeleteService('userinit');
 QuarantineFile('globalroot\systemroot\system32\usеrinit.exe','');
 QuarantineFile('c:\program files\common files\program shared\isass.exe','');
 TerminateProcessByName('c:\program files\common files\program shared\isass.exe');
 DeleteFile('c:\program files\common files\program shared\isass.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteRepair(13);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[Martynov]

Пункт 1 выполнился.. после перезагрузки остались вот эти строки
F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe
O1 - Hosts: 109.94.220.65 www.vkontakte.ru
O1 - Hosts: 109.94.220.65 www.vk.com
O1 - Hosts: 109.94.220.65 vkontakte.ru
O1 - Hosts: 109.94.220.65 vk.com
O1 - Hosts: 109.94.220.65 www.odnoklassniki.ru
O1 - Hosts: 109.94.220.65 odnoklassniki.ru

Пункт 2 не выполняется.. АВЗ запускается, но после выбора в меню "Выполнить скрипт" окно опять же появляется на долю секунды и потом пропадает в модальное никуда.. АВЗ приходится срубать через "снять задачу"..

Переименовал авз в тест.ком как рекомендовано в ЧАВО.. эффекта не возымело..

[Martynov]

Поздравляю всех с праздником!

Так что мне делать-то?? Скрипт в АВЗ прогнать не удается.. диалог ввода скрипта не открывается мне для ввода.. в какой-либо внешний файл его можно сохранить и дать команду АВЗ взять скрипт из него??

[Bratez]

Попробуйте загрузиться в безопасном режиме с поддержкой командной строки.
В командной строке наберите
explorer.exe
Далее все как обычно. Должно получиться.
Если не получится, то -

в какой-либо внешний файл его можно сохранить и дать команду АВЗ взять скрипт из него??

Можно, в обычный текстовый файл.
Затем надо запустить AVZ из командной строки так:
avz.exe script=имя_файла_со_скриптом
Предварительно перейти в папку с AVZ.

[Martynov]

Спасибо, получилось.. из внешнего файла удалось выполнить скрипт..

Карантин выложил.. логи сейчас прикреплю..

[Martynov]

Аттач

[polword]

- выполните такой скрипт

Код:

var
i : integer;
KeyList : TStringList;                      
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
 begin
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

- Сделайте повторный лог virusinfo_syscheck.zip;

[Martynov]

Добрый день!
Спасибо большое.. вроде уже лучше.. выкладываю логи..

[Martynov]

Однако проблемы сохраняются.. авто-обновление не работает.. система БИТС не стартует.. и попытка установки сервис-пака 3 из дистрибутива вылетает на том же этапе с той же ошибкой.. на этапе когда оно пишет - редактирование реестра "отказано в доступе".. Все выполняется под админом.. Как быть?

[Martynov]

Добрый вечер!
Уважаемые гуру, вы меня совсем игнорируете.. возможно вирусов в системе не осталось.. но как быть дальше-то?? я так понимаю проблема еще не решена..

Спасибо заранее.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
end.

Больше ничего плохого не видно.

[polword]

- Сделайте лог MBAM

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\program files\\common files\\program shared\\isass.exe - Trojan.Win32.VBKrypt.cudh ( DrWEB: Trojan.Qhost.3439, BitDefender: Trojan.Generic.5969987, AVAST4: Win32:VB-YGQ [Trj] )