Не работают антивирусы.

[sathanaar]

Вечер добрый!

Такая тема уже трижды всплывала, но, как я понял, единого подхода к решению проблемы выработать пока не удалось.

Ситуация следующая: в один прекрасный момент перестала работать антивирусная служба (AOL Active Virus Shield by Kaspersky), при попытке запустить её через управление компьютером возникает ошибка: "Не удалось запустить службу Active Virus Shield на Локальный компьютер, ошибка 193: 0xc1"

При попытке установить какой-либо из антивирусов (NOD, Kaspersky, AVPTool) в процессе инсталляции возникает ошибка и установки не происходит.

Запустить AVZ, CureIt и HiJackThis не получается - выскакивает ошибка "программа не является приложением Win32", переименование ни к чему не приводит.

Загрузиться в безопасном режиме также не удаётся - выдаётся какая-то ошибка (текст уловить не успел) и происходит перезагрузка.

Online проверка сканером с сайта Касперского вирусов в системе не нашла.

Посоветуйте, как быть или, хотя бы, с чего начать лечение.

[Гриша]

Скачать http://www.megaupload.com/?d=AUGYD37C это переименованный IceSword

Запустите IceSword (hockey.pif), зайдите слева в меню "Processes"
Выберите, если есть:

Код:

windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe

Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и если есть, удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):

windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe

Посмотрите там, есть ли папка WINDOWS\system32\drivers\down или WINDOWS\system32\drivers\downld и если есть, то force delete для папки down или downld (папка называется down или downld, ни в коем случае не перепутайте с папкой drivers).

Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drvsyskit"
параметр называется "drvsyskit", удалите его.

Найдите параметр
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "german.exe"
параметр называется "german.exe", удалите его.

Посмотрите, есть ли ключ реестра
HKEY_CURRENT_USER\Software\FirstRRRun
Если есть, удалите ключ FirstRRRun.

Посмотрите, есть ли ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa (не обращайте внимание на пробел в слове "srosa" и некотрые другие пробелы в некоторых местах, их не должно быть, какой-то баг форума).
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Если есть, удалите в них ключ srosa.

Перезагрузите компьютер.Скачайте AVZ заного и сделайте логи.

[sathanaar]

Запустить IceSword не удалось, при запуске выдаётся сообщение:
"Initialize failed, error code: 1073741660", следом за ним "initialize failed", на этом работа программы прекращается.

[Гриша]

У вас виндовс на С установлен?

Добавлено через 2 минуты

Если да то так:

Отключите восстановление системы, как написано в правилах (если еще не отключили). Очистите кеш интернета.
Скачайте Avenger отсюда: http://swandog46.geekstogo.com/avenger2/download.php
Переименуйте программу в football.pif
Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):

Код:

Comment:
Script to delete the Bagle worm

Drivers to disable:
srosa

Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
C:\windows\system32\drivers\mdelk.exe

Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld

Компьютер перезагрузится (возможно 2 раза).
Прикрепите лог Avenger (если С - диск, на котором установлена система, то лог будет здесь: C:\avenger.txt ).Затем скачайте AVZ заного и сделайте логи.

[sathanaar]

Да, Windows установлена на диск "C".
Сейчас проделаю вышеперечисленное.
--
После скачивания и переименования программа не запустилась по всё той же причине - "не является приложением Win32". Возможно, это из-за того, что я назвал файл "handball.pif", а надо было "football.pif".

Тем не менее, скачивание файла на другом компьютере и запуск по сети уже с именем "football.pif", действительно, помог.
Сейчас буду исполнять скрипт.
--
Первый этап скрипта выполнился, начинаю серию перезагрузок.

[sathanaar]

Перезагрузки выполнились (их было две), лог-файл прикладываю.

[Гриша]

Все хорошо:

Driver "srosa" disabled successfully.
File "C:\windows\system32\drivers\srosa.sys" deleted successfully.
File "C:\windows\system32\drivers\hldrrr.exe" deleted successfully.
File "C:\windows\system32\wintems.exe" deleted successfully.
File "C:\windows\system32\mdelk.exe" deleted successfully.
File "C:\windows\system32\drivers\mdelk.exe" deleted successfully.

Folder "C:\WINDOWS\system32\drivers\downld" deleted successfully.

Не забудьте скачать AVZ заного.

[sathanaar]

AVZ скачал, программа запустилась.
Но ведёт себя несколько странно - работает где-то 7 - 10 секунд, затем вырубается.
Сформировать лог за такое время не удаётся, запуск программы с другого компьютера сети также не помогает.

[kps]

1) Скачайте снова hockey.pif http://www.megaupload.com/?d=AUGYD37C
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Startup. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Три лога запакуйте в один архив и прикрепите архив.

2)Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[sathanaar]

По первому пункту - "hockey.pif" скачал, лог-файлы прикладываю.
Со вторым пунктом сложнее - программа также вылетает через некоторое время, сканирование всех дисков толком начаться-то не успевает.

[kps]

Зайдите в меню: "Process"
C:\WINDOWS\system32\drivers\hldrrr.exe - правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\drivers\hldrrr.exe и удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"). После этого попробуйте скачать новый CureIt!, он запустится?

И попробуйте выполнить рекомендации из поста номер 2.

[sathanaar]

Спасибо, помогло!
Рекомендации из второго сообщения в теме выполнил, лог-файлы прикладываю.

[Гриша]

В логах чисто,какие-то проблемы остались?

[sathanaar]

Не то, чтобы проблемы, но продолжает отказываться запускаться антивирус (AVS) и антивирусная служба.
Судя по всему, это результат действия вируса и починить испорченные файлы уже не удастся.

[Гриша]

После этого червя,антивирусные продукты нужно переустановить,CureIT проверялись?

[sathanaar]

Нет, полную проверку ещё не делал, сейчас прогоню.

[Гриша]

Обязательно прогоните,возможно что-то где-то заволялось,затем переустановите антивирус,результат сообщите

[sathanaar]

Полная проверка CureIt! вирусов не нашла.
Спасибо большое!
Займусь установкой антивирусов.

[kps]

Безопасный режим у Вас работает? Если нет - дадим таблетку.

[sathanaar]

Да, действительно, не работает - не уследил на радостях.
В процессе загрузки в безопасном режиме выдаётся какая-то ошибка на синем фоне (что-то про драйверы, по крайней мере, так показалось) и компьютер перезагружается.