Не работают антивирусы, avz, CureIt.

[george89]

При запуске любого антивируса (пробовал Касперского, Панду, Nod32) либо пишет сообщение "...не является приложением Win 32", либо при запуске exe-шника окно зависает. При попытке запустить Avz и CureIt то же самое. Безопасный режим не грузится (перезагружается с появлением одной-двух строк с указанием каких-то файлов). hijackthis удалось запустить только переименованную версию. Лог:

[akok]

Скачайте AVPTool и проверьте систему

[george89]

Всю или только критические области?

[Bratez]

Загружайтесь с CD или в консоль восстановления, ищите и удаляйте:
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe

[george89]

Первые два файла удалил (3-его и 4 -го нет), систему проверил, но не помогло.

[akok]

Попробуйте запустить AVZ

[george89]

Не запускается. Опять пишет, что Avz не является приложением Win32, даже после того, как полностью проверил систему (было обнаружено где-то 10 вирусов)... может, надо какие ключи в реестре стереть?

[Bratez]

Переименовывать avz.exe пробовали? В какой-нибудь 789.pif например?
Через CD или консоль востановления проверьте снова наличие srosa.sys & co.

[george89]

Проверил комп снова. Был обнаружен вирус Hidden.Object (модифицированный), файл C:\sccfg.sys Будет удалён после перезагрузки (я его удалил вручную). Переименованный Avz запустился, однако при проверке по прошествии некоторого времени самолично выключается. Но был обнаружен вирус AdvWare.Win32.MyWebSearch.bm

[Bratez]

Переименованный Avz запустился, однако при проверке по прошествии некоторого времени самолично выключается.

Это время позволяет хотя бы сделать лог syscheck (п.10 правил)?

[george89]

Это время позволяет хотя бы сделать лог syscheck (п.10 правил)?

Да, вот:

[rubin]

Попробуйте выполнить:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WIN_XP\system32\drivers\hldrrr.exe');
 BC_DeleteFile('C:\WIN_XP\system32\drivers\hldrrr.exe');   
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

[george89]

Когда я попытался удалить файл sccfg.sys в корневом каталоге (во второй раз), то было отказано, а разблокирующая прога определила, что этот файл используется процессом System (который виден в Ctrl+Alt+Del, но не удаляется оттуда).

[rubin]

он оттуда и не удалится...
Скрипт прошел?

[V_Bond]

isuspm.exe - пришлите согласно приложения 3 правил ...

[george89]

Если Вы имеете в виду архив virus, то вроде прислал. Кстати, удалось сделать лог лечения, это почему-то Visual Basic 6.0 его прерывал, я удалил его, и всё прошло до конца. Лог:

[george89]

isuspm.exe - пришлите согласно приложения 3 правил ...

А... не допёр вначале... щас пришлю.

[Bratez]

Ничего подозрительного в логе не видно.

Рекомендуется отключить все что вам не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Сделайте еще лог HijackThis.

[george89]

Вот, закачал... только сначала не с паролем, а второй раз всё по правилам.

[Bratez]

Файл чистый.