Не запускаются исполняемые файлы. Не инсталируются программы и многое другое.

[SergeyKa]

GMER

CreateFile "C:\WINDOWS\gmer.dll": Отказано в доступе.

[OK]


Может быть грузануться под лайв сиди и грохнуть файлы оттуда ? Я думаю должно пройти. Главное понять, что удалять...

[kps]

Да, загрузитесь с Live CD. Первым делом нужно удалить C:\WINDOWS\system32\Drivers\Lqv73.sys , но перед удалением хорошо бы его скопировать, чтобы прислать нам. Еще удалите C:\WINDOWS\system32\WinNt32.dll, C:\WINDOWS\System32\drivers\tcpsr.sys

Еще удалите, если есть:
c:\windows\system32\drivers\spools.exe
C:\Program Files\Internet Explorer\SETUPAPI.dll
C:\WINDOWS\svchost.dll
C:\Documents and Settings\vera\ie_updates3r.exe
C:\WINDOWS\System32\drivers\Jot27.sys
C:\WINDOWS\System32\Drivers\Nsx73.sys
C:\WINDOWS\System32\Drivers\Oua16.sys
C:\WINDOWS\System32\Drivers\Pvb73.sys
C:\WINDOWS\System32\Drivers\Rwc06.sys
C:\WINDOWS\System32\Drivers\Uaf62.sys
C:\Documents and Settings\LocalService\cftmon.exe
C:\Documents and Settings\vera\cftmon.exe
C:\WINDOWS\system32\hdxjd4g.dll

[SergeyKa]

пропустил по поиску svchost. тотал мне нашел:

c:\WINDOWS\prefetch\svchost.exe-3530F672
c:\WINDOWS\svchost.dll
c:\WINDOWS\system32\dllcache\svchost.exe
c:\WINDOWS\system32\svchost.exe
c:\WINDOWS\system32\svchost.t__

[kps]

c:\WINDOWS\svchost.dll - надо удалить
c:\WINDOWS\system32\svchost.t__ - подозрительный, пришлите по правилам нам.

Системный svchost.exe и его копию в dllcache не трогайте.

Как удаление заразы с Live CD ?

[SergeyKa]

C:\WINDOWS\system32\Drivers\Lqv73.sys - снес
C:\WINDOWS\system32\WinNt32.dll - снес
C:\WINDOWS\System32\drivers\tcpsr.sys - снес

c:\windows\system32\drivers\spools.exe - снес
C:\Program Files\Internet Explorer\SETUPAPI.dll - небыло
C:\WINDOWS\svchost.dll
C:\Documents and Settings\vera\ie_updates3r.exe был в prefetch

C:\WINDOWS\System32\drivers\Jot27.sys - небыло
C:\WINDOWS\System32\Drivers\Nsx73.sys- небыло
C:\WINDOWS\System32\Drivers\Oua16.sys- небыло
C:\WINDOWS\System32\Drivers\Pvb73.sys- небыло
C:\WINDOWS\System32\Drivers\Rwc06.sys- небыло
C:\WINDOWS\System32\Drivers\Uaf62.sys- небыло
C:\Documents and Settings\LocalService\cftmon.exe
C:\Documents and Settings\vera\cftmon.exe
C:\WINDOWS\system32\hdxjd4g.dll- небыло

Добавлено через 7 минут

Удалил файлы ситуация не изменилась. Попробовать прогнать скрипт ?

А почему не срабатывает команда ребута ???

[kps]

Сделайте теперь новые логи по правилам.

[SergeyKa]

3ий скрипт опять зависает.

прикладываю лог и скриншот из процесс эксплорера

куда заливать интересующие вас вири ?

[kps]

Заливать сюда http://virusinfo.info/upload_virus.php?tid=23161 в архиве с паролем: virus

[SergeyKa]

второй скрипт

[SergeyKa]

Результат загрузки
Ошибка загрузки.

LQV73 архив убился .....

[kps]

Выполните скрипт в AVZ:

Код:

begin
 DeleteService('Uaf62');
 DeleteService('tcpsr');
 DeleteService('Rwc06');
 DeleteService('Pvb73');
 DeleteService('Oua16');
 DeleteService('Nsx73');
 DeleteService('Lqv73');
 DeleteService('Jot27');
 DeleteService('Google Online Services');
 DeleteFile('C:\Documents and Settings\vera\ie_updates3r.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\Jot27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lqv73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nsx73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oua16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Pvb73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rwc06.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Uaf62.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Lqv73');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('Oua16');
BC_DeleteSvc('Nsx73');
BC_DeleteSvc('Uaf62');
BC_DeleteSvc('Jot27');
BC_DeleteSvc('Rwc06');
BC_DeleteSvc('Pvb73');
BC_DeleteSvc('tcpsr');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание! BootCleaner не активирован!'); 
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(17);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
SaveLog(GetAVZDirectory + 'avz_log2.txt');
RebootWindows(true);
end.

Компьютер перезагрузится.

Прикрепите логи avz_log2.txt и boot_clr.log из папки AVZ и новые логи по правилам.

[SergeyKa]

Скрин процесс эксплорера

[SergeyKa]

А где находится boot_log.clr ???

[SergeyKa]

Нету лога ЦЛР.

3ий скрипт очень медленно и с натугой, пытается выполнится )

Добавлено через 11 минут

Очень жду помощи !!!

[SergeyKa]

Последние обновления. Я всетаки осилил и сделал скрипт под номером 3 ))

[SergeyKa]

Мне может кто-то помоч ? Это очень важно !!!

[PavelA]

Все дурацккое восст. винды возвращает взад.
Это очень грусно. Надо будет придумать, как его отключить.

[HDD]:\System Volume Information\_restore{...}\RPхх (хх-последовательные номера точек восст-ия) с Live CD попытаться удалить вот эти вложенные директории. После этого повторно пройтись IceSword, а уж после него попытаться сделать логи AVZ

[kps]

Методом, как написано в правилах, воостановление не отключить?

Вернулись, похоже, только записи в реестре.

На всякий случай загрузитесь с установочного диска Windows, зайдите в Консоль Восстановления и проверьте все жесткие диски оттуда с помощью chkdsk диск /p /r
Затем в обычном режиме зайдите в AVZ - Сервис - Системные утилиты - SFC проверка системных файлов.
Понадобится установочный диск Windows.

[PavelA]

Офф: похоже права Администратора не восстановились.
Запись из лога: >> Заблокированы настройки системы System Restore
Самое интересное два антивируса пытаются работать.

[SergeyKa]

Один снесу завтра. оставлю только аваст. как вы думаете ? Если в режиме восстановления установить хрюшу ?? .... недавно столкнулся с тем, что когда винду зловреды загрызли, режим восстановления не помог и пришлось переставлять ось. Тут нельзя. ПК бухгалтера...