-
Junior Member
- Вес репутации
- 59
Не запускаются исполняемые файлы. Не инсталируются программы и многое другое.
Добрый день! Первый раз обращаюсь за помощью по поводу зловредов
О Проблеммах:
1. Не запускаются исполняемые файлы. Я немогу поставить софт.
Говорит мне о том, что я не админ.
2. Я немогу запустить системные утилиты.
3. При загрузке винды, сразу же загружается проводник в папке мой доки.
4. Пропадает панель задач. Ощущение, что отклучена возможность закрепления.
СОФТ: До недавнего прошлого, стоял ненависный мною Symantec. Я поставил аваст вроде вылечил и вернул обратно симантек, т.к. это корпоративная лицензия. И через неделю, снова все началось.
Своими обычными методами побороться неполучилось. Прошу помочь мне по возможности. Самое страшное, что этот ПК БУХГАЛТЕРА!!!
К сожалению немогу прикрепить лог от софтины HiJackThis. Я ее немогу засетапить по понятным причинам.
Последний раз редактировалось SergeyKa; 21.05.2008 в 12:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Если AVZ не запускается, то попробуйте переименовать avz.exe в avz.pif. Сделайте логи по правилам http://virusinfo.info/showthread.php?t=1235 и прикрепите.
-
-
Junior Member
- Вес репутации
- 59
Прошу прощения. Эксплорер проглючил
Кстати, я могу запускать приложения при помощи "Запустить от имени". Но я немогу сетапить.
Последний раз редактировалось SergeyKa; 02.11.2008 в 14:44.
-
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Lqv73.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\Documents and Settings\vera\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf62.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rwc06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oua16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nsx73.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Jot27.sys','');
QuarantineFile('C:\Documents and Settings\vera\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Lqv73.sys','');
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\pdfprint.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\svchost.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\svchost.dll');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Lqv73.sys');
DeleteFile('C:\Documents and Settings\vera\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Jot27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nsx73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oua16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pvb73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rwc06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uaf62.sys');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\vera\cftmon.exe');
DeleteFile('WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
DelWinlogonNotifyByKeyName('WinNt32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Lqv73');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('Oua16');
BC_DeleteSvc('Nsx73');
BC_DeleteSvc('Uaf62');
BC_DeleteSvc('Jot27');
BC_DeleteSvc('Rwc06');
BC_DeleteSvc('Pvb73');
BC_DeleteSvc('tcpsr');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(17);
ExecuteRepair(1);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил и скопированный Вами файл (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23161 ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 59
IceSword.exe не запускается.
Initialize Failed.
--
AVZ запустился.
-
Тогда выполните все остальное (скрипт в AVZ, пришлите карантин, исправьте проблемы и сделайте новые логи.)
-
-
Junior Member
- Вес репутации
- 59
Выполнил скрипт.
Карантин заслал.
После выполнения скрипта, комп сам не перегрузился. Пришлось вручную. Осталось все тоже. Ничего не изменилось
-
Попробуйте выполнить этот же скрипт, но без строчек
SearchRootkit(true, true);
SetAVZGuardStatus(True);
После перезагрузки сделайте новые логи по правилам и прикрепите.
-
-
Junior Member
- Вес репутации
- 59
Ребута не последовало. Попробую перегрузить вручную.
Добавлено через 12 минут
Попробую в сейв моде запустить хайжек
Последний раз редактировалось SergeyKa; 21.05.2008 в 13:58.
Причина: Добавлено
-
В AVZ - Мастере поиска и устранения проблем проблемы устраняли?
Нужны хотя бы логи AVZ. Если Хайджек не работает, то его лог не надо.
-
-
Junior Member
- Вес репутации
- 59
-
Новые логи AVZ прикрепите.
-
-
Junior Member
- Вес репутации
- 59
В процессе !
Добавлено через 17 минут
А AVZ может подвиснуть в процессе сканирования жесткого диска ?
Последний раз редактировалось SergeyKa; 21.05.2008 в 14:32.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 59
выкладываю лог скрипта под порядковым номером 2
скрипт номер 3, зависает при сканировании дисков.
Последний раз редактировалось SergeyKa; 02.11.2008 в 14:44.
-
Junior Member
- Вес репутации
- 59
скрипт номер 3 до сих пор висит ....
-
У Вас два активных антивируса - Аваст и Битдефенедер. это плохо. Удалите одного из них.
IceSword запускается ?
Затем выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\Documents and Settings\vera\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf62.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rwc06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oua16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nsx73.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Jot27.sys','');
QuarantineFile('C:\Documents and Settings\vera\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Lqv73.sys','');
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\pdfprint.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\svchost.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\svchost.dll');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Lqv73.sys');
DeleteFile('C:\Documents and Settings\vera\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Jot27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nsx73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oua16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pvb73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rwc06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uaf62.sys');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\vera\cftmon.exe');
DeleteFile('WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Lqv73');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('Oua16');
BC_DeleteSvc('Nsx73');
BC_DeleteSvc('Uaf62');
BC_DeleteSvc('Jot27');
BC_DeleteSvc('Rwc06');
BC_DeleteSvc('Pvb73');
BC_DeleteSvc('tcpsr');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание! BootCleaner не активирован!');
ExecuteRepair(1);
SaveLog(GetAVZDirectory + 'avz_log.txt');
RebootWindows(true);
end.
Компьютер перезагрузится.
Прикрепите новый лог по пункту 10 правил, а также boot_clr.log из папки AVZ. Если его не будет там, то тогда прикрепите avz_log.txt из папки AVZ.
-
-
Junior Member
- Вес репутации
- 59
про антивири я все понимаю и знаю. я хотел прогнать битдефендером, пока было не совсем так плохо как сейчас. обычно тут аваст крутится один.
попробую скрипт пропустить.
IceSword.exe не запускается.
Initialize Failed.
-
Junior Member
- Вес репутации
- 59
скрипт не помог. прикладываю лог который был сформирован после выполнения скрипта.
Последний раз редактировалось SergeyKa; 02.11.2008 в 14:44.
-
Junior Member
- Вес репутации
- 59
Надо попробовать найти программу, аля ледяной меч, что-бы удалить неудаляемые файлы. Главное, что бы этой проге ненадо было инсталироваться...
-
У Вас зловред мешает активации Бутклинера...
Сообщение от
avz_log.txt
Внимание! BootCleaner не активирован!
Скачайте Gmer. Переименуйте его в football.pif
Запустится ?
-