Не запускаются исполняемые файлы. Не инсталируются программы и многое другое.

**SergeyKa** · 22.05.2008, 15:50

Добрый день. Хотелось бы продолжить решение моего вопроса. Надеюсь у нас получится побороть зловреда

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**kps** · 22.05.2008, 16:12

Как результаты проверок из поста номер 38 ?

**SergeyKa** · 22.05.2008, 17:52

Сообщение от PavelA

Все дурацккое восст. винды возвращает взад.

Это очень грусно. Надо будет придумать, как его отключить.

[HDD]:\System Volume Information\_restore{...}\RPхх (хх-последовательные номера точек восст-ия) с Live CD попытаться удалить вот эти вложенные директории. После этого повторно пройтись IceSword, а уж после него попытаться сделать логи AVZ

К сожалению, ледяной меч у меня не работает (((( Могу удалять неудаляемые файлы, только под лайв сиди...

Из систем рестор все точки можно удалять ???

Добавлено через 1 час 9 минут

Чекдиск провел.
сфц сканирование не запускается.

Добавлено через 16 минут

Я проник в реестр !!! Уже радует

Добавлено через 8 минут

*.pifы запускаются.

Когда я запускаю hijackthis он мне выдает окно согласия с лицензией а потом пишет:

Run-time error '481':
Invalid Picture.

Добавлено через 1 минуту

Как вы думаете? Стоит ли прогнать последней версией БАРТ касперского ? Может помочь ???

**PavelA** · 22.05.2008, 17:55

А почему бы и нет? Это насчет прогнать.

Из систем. ресторе точки удалил? Если да, то повторяй операцию с LiveCD по удалению файлов.

**SergeyKa** · 22.05.2008, 17:57

[HDD]:\System Volume Information\

У меня там нет папок с точками.
Там два файла. Один из них 0кб

**SergeyKa** · 22.05.2008, 19:42

После проверки БАРТом каспера:

heur.trojan.generic (модификация)
trojan.spy.win32.zbot.agm
trojan-dropper.win32.agent.qnz
trojan-downloader.win32.mutant.vt
trojan-downloader.win32.mutant.paj

Прикладываю скрипт проверки! Один. Второй долго будет очень делаться. Выложу утром.

Заранее спасибо!

**PavelA** · 22.05.2008, 20:11

Сорри, плохо написал. Был немного занят.
Речь шла о точках восстановления, директории вот такого типа RPXX.

**SergeyKa** · 22.05.2008, 21:10

А где они именно лежат ??? я просто никогда с ними не воззился .... в систем волюм инфо там два файла и никаких папок ...

**PavelA** · 22.05.2008, 23:04

Значит их там нет, или мы их не видим. Д.б. файлы с именами, которые я написал в пред. мсж

**SergeyKa** · 23.05.2008, 00:34

Завтра в 9-30 продожим ))) ....

У меня уже просто принцип ! Побороть этого зловреда! Первый раз у меня это не получается (((

**SergeyKa** · 23.05.2008, 09:57

ЗА ночь всетаки провелось сканирование virusinfo_syscure...

выкладываю лог.

**V_Bond** · 23.05.2008, 10:14

оставте тлько один антивирус ...
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('Google Online Services');
 BC_DeleteSvc('Uaf62');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf62.sys','');
 BC_DeleteSvc('tcpsr');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 BC_DeleteSvc('Rwc06');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rwc06.sys','');
 BC_DeleteSvc('Pvb73');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb73.sys','');
 BC_DeleteSvc('Oua16');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Oua16.sys','');
 BC_DeleteSvc('Nsx73');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Nsx73.sys','');
 BC_DeleteSvc('Lqv73');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Lqv73.sys','');
 BC_DeleteSvc('Jot27');
 QuarantineFile('C:\WINDOWS\System32\drivers\Jot27.sys','');
 QuarantineFile('C:\Documents and Settings\vera\ie_updates3r.exe','');
 DeleteFile('C:\Documents and Settings\vera\ie_updates3r.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\Jot27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lqv73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nsx73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oua16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Pvb73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rwc06.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Uaf62.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

**SergeyKa** · 23.05.2008, 10:28

Я немогу сейчас удалить битдефендер. сначала я его мог установить. Зловред перекрыл инсталлер...

**V_Bond** · 23.05.2008, 10:32

выполните скрипт а потом пробуйте причем нужно удалить оба антивируса и затем поновой установить один , лучше конечно битдефендер ...

**SergeyKa** · 23.05.2008, 10:41

Тут дело такое странное.
Я выполнял уже не один скрип. команда перезагрузки неработает и после любого скрипта ничего не изменяется ... я конечно сейчас еще раз попробую ))

Добавлено через 2 минуты

Вот он снова не перегрузился ...

Вручную перегружаю ...

**SergeyKa** · 23.05.2008, 11:08

Скрипт не прошел. Прикладываю руками сделанный лог

**SergeyKa** · 23.05.2008, 11:53

Пока у меня ничего не получается (

Добавлено через 17 минут

Друзья, какие мои дальнейшие действия ? Я в тупике

**kps** · 23.05.2008, 12:08

Похоже на какие-то проблемы с Windows. Если есть желание, можете попробовать накатить Windows в режиме восстановления.

**SergeyKa** · 23.05.2008, 15:59

Именно этого я и боюсь. Потому что совсем недавно столкнулся с пожраным вирусами ПК, накатил на него винду а она во время установки просто зависла на 34 минутах ((((

Боязно )) ... но если ничего не сделать. Буду восстанавливать ...

Добавлено через 54 минуты

Прогнал в режиме восстановления. Всеравно нарушены ассоциации...

Это уже трабл винды как я понимаю (((

Добавлено через 6 минут

Теперь осталось каким нить образом запустить sfc \scannow

Добавлено через 2 часа 48 минут

Воопщем все вирусяки ушли. Осталось только восстановить ассоциацию ЕХЕ файлов (((