Вирус заблокировал установку какого-либо антивируса

[snikky]

Здравствуйте!
Начну с того, что у меня начались открываться локальные диски (и только они ) в новом окне . Как понял это вирус Autorun или че то такого. И хочу заметить что все это началось после новой чистой установки Windows. И как я понял для этого устранения необходимо нужно было удалить файлы autorun в безопасном режиме из корневых папок дисков и windows и windows/system32/. и тут же замечаю что у меня перестал запускаться безопачный режим. И это не все ! Антивирус после установки не один не запускался : ни касперский ни нод32 и т.д. Да и еще не открываются письма на майле. На других почтовых серверах это работает отлично, кроме mail.ru. И еще они (письма) открываются без проблем на других компах. Я предпологая, что это я занес через какой то спам в сообщении на mail.ru.
Прошу помощи или хотя бы подсказки.
Благодарю.

[AndreyKa]

Правила читали? CureIt, AVZ запускаются? Если нет, переменуйте файл avz.exe в xyz.bat, например.

[Гриша]

Скачать http://www.megaupload.com/?d=AUGYD37C это переименованный IceSword.

Запустите IceSword (hockey.pif), зайдите слева в меню "Processes"
Выберите, если есть:

Код:

windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe

Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы и если есть, удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):

Код:

windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe

Посмотрите там, есть ли папка WINDOWS\system32\drivers\down или WINDOWS\system32\drivers\downld и если есть, то force delete для папки down или downld (папка называется down или downld, ни в коем случае не перепутайте с папкой drivers).

Найдите в IceSworde следующие параметры из ключа системного реестра (зайдите в меню: Registry):

Код:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "drvsyskit"

параметр называется "drvsyskit", удалите его.

Найдите параметр

Код:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "german.exe"

параметр называется "german.exe", удалите его.

Посмотрите, есть ли ключ реестра

Код:

HKEY_CURRENT_USER\Software\FirstRRRun

Если есть, удалите ключ FirstRRRun.

Посмотрите, есть ли ключи реестра:

Код:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa

Если есть, удалите в них ключ srosa.
Перезагрузите компьютер.

[snikky]

Спасибо, прочитал правила и сделал как там было сказано и заметил, что после этого у меня при выборе безопасного режима появляется синее окно с ощибками на английском вместо прошлой перезагрузки, как это было до этого.
Прикрепляю файл.

[snikky]

Скачать http://www.megaupload.com/?d=AUGYD37C это переименованный IceSword.

Запустите IceSword (hockey.pif), зайдите слева в меню "Processes"
Выберите, если есть:

Код:

windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe

Так вот нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

ни одного такого процесса не было мною найдено

[Гриша]

Отключите Антивирус!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\svchost.exe');    
QuarantineFile('E:\tel.xls.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\FileKan.exe','');
QuarantineFile('C:\WINDOWS\Session.exe','');
QuarantineFile('C:\tel.xls.exe','');
QuarantineFile('C:\WINDOWS\system32\SocksA.exe','');
QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
QuarantineFile('c:\windows\svchost.exe','');
DeleteFile('c:\windows\svchost.exe');
DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll');
DeleteFile('C:\WINDOWS\system32\SocksA.exe');
DeleteFile('C:\tel.xls.exe');
DeleteFile('C:\WINDOWS\Session.exe');
DeleteFile('C:\WINDOWS\system32\FileKan.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\tel.xls.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22458

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Обновите базы AVZ и повторите логи.

[snikky]

Отключите Антивирус!

Он у меня даже не запускается!!!!!!!! Сразу вылетает через секунду после запуска

[Гриша]

Значит пропустите это

[snikky]

Значит пропустите это

Спасибо!! Скрипт очень в тему помог!
Сразу касперский запустился и нашел просто кучу ошибок и вирусов как файлов ехе так взлома Localhost'a.Теперь и почта начала открываться отлично...
Осталось все волишь одна проблемка с загрузкой безопасного режима...- появляется синее окно и говорит что ошибка (на агл.) и так и остается пока не нажму на кнопку принудительно перезагрузить..

[Гриша]

Вы логи повторите,все починим

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 0
• В ходе лечения вредоносные программы в карантинах не обнаружены