Не запускаются приложения в т.ч. и AVZ

[slon2006]

Не запускается практически ни одно приложение в том числе и AVZ (и после переименования тоже), при этом не не выдаётся никаких ошибок, не запускаются команды и программы из коммандной строки, в том числе и в защищенном режиме. Единственно что запускается это диспетчер задач, а также могу просматривать содержимое папок, копировать и переименвывать файлы. Операцонка Win XP SP2.

[Numb]

Как переименовывали? Пробовали менять не только имя, но и расширение файла? Если нет, попробуйте переименовать avz.exe в 123.bat , например, и запустить. Если запустится, сделайте логи.

[slon2006]

Переименовать могу только имя, т.е. если в проводнике переименовать приложение AVZ на 123.bat то в итоге получается 123.bat.exe , а как можно переименовать не имея возможности выйти в сессию DOS???

[Numb]

А свойства папки вам доступны? Если да, то в свойствах папки снимите галку "скрывать расширения для зарегистрированных типов файлов", и попробуйте снова переименовать avz.exe . Для восстановления запуска exe-файлов можно так же воспользоваться вот этими рекомендациями - http://virusinfo.info/showthread.php?t=10260

[slon2006]

Своиства папок открываются но такой опции у меня нет. Но я эту операцию по переименованию выполнил на другом компе и по сети загнал в свой комп, запуск батника ничего не дал (не запустился), загрузил рекомендованный Вами батник для фиксации проблем с .exe (xp_fileassoc) результат нулевой (на мгновение появилось черное пустое окошко и пропало) т.е. батники как и другие приложения не выполняются, никаких сообщений не выдается.

[kps]

pingpong.pif - переименованный AVZ http://rapidshare.com/files/116949749/pingpong.pif.html

Попробуйте его запустить.

[slon2006]

Мне удалось запустить AVZ подставив его в автозапуск (причем сделал я это раньше но запустился он только сейчас)

Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 17.07.2008 18:23:21
Загружена база: сигнатуры - 176618, нейропрофили - 2, микропрограммы лечения - 56, база от 16.07.2008 18:11
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 71502
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dlldrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919B88->1346AF
Функция ntdll.dlldrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9161CA->1346ED
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D7D2->13467C
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90DF5E->13475B
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:GetClipboardData (25 перехвачена, метод ProcAddressHijack.GetProcAddress ->77D5FCB2->13367C
Функция user32.dll:TranslateMessage (683) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D38BCE->13395E
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSASend (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A96233->13A599
Функция ws2_32.dll:WSASendTo (7 перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0A95->13A57E
Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A99639->13A56E
Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9428A->13A605
Функция ws2_32.dll:sendto (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A92C69->13A5CF
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpQueryInfoA (205) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B8C6A->1393B9
Функция wininet.dll:HttpQueryInfoW (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C7756->13940A
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B76B8->139F7C
Функция wininet.dll:HttpSendRequestExA (20 перехвачена, метод ProcAddressHijack.GetProcAddress ->7720190D->13A061
Функция wininet.dll:HttpSendRequestExW (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C53EB->13A044
Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->77201808->139F5C
Функция wininet.dll:InternetCloseHandle (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B61DC->139834
Функция wininet.dll:InternetQueryDataAvailable (26 перехвачена, метод ProcAddressHijack.GetProcAddress ->771C325F->1399E4
Функция wininet.dll:InternetReadFile (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B9555->139982
Функция wininet.dll:InternetReadFileExA (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E7E9A->1399C3
Функция wininet.dll:InternetReadFileExW (274) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E88D6->1399A2
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 29
Количество загруженных модулей: 268
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Super-Slon\Local Settings\Temp\~DF31FB.tmp
C:\Program Files\DDDrWeb\infected.!!!\8dselgio.exe >>> подозрение на Trojan-Spy.Win32.BZub.fm ( 069E8923 0DB44C1B 00215DAF 001E8275 6832
C:\Program Files\DDDrWeb\infected.!!!\owv3rzs6.exe >>> подозрение на Trojan-Spy.Win32.BZub.fm ( 069E8923 0DB44C1B 00215DAF 001E8275 6832
C:\Program Files\DDDrWeb\infected.!!!\taodf5mo.exe >>> подозрение на Trojan-Spy.Win32.BZub.fm ( 069E8923 0DB44C1B 00215DAF 001E8275 6832
C:\Program Files\DDDrWeb\infected.!!!\winclea0.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea1.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea2.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea3.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea4.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea5.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea6.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclea7.exe >>>>> Trojan.Win32.Agent.aaw
C:\Program Files\DDDrWeb\infected.!!!\winclean.exe >>>>> Trojan.Win32.Agent.aaw
C:\System Volume Information\_restore{71F49817-2AC4-443A-A298-8E7AF7B99C55}\RP63\A0019714.dll >>> подозрение на Trojan.Win32.Pakes.cdw ( 0A5FF231 0492B11F 0020FE22 0023D50D 84992)
Прямое чтение C:\WINDOWS\system32\1042i.exe
C:\WINDOWS\system32\VIRUS\cdfvie.dll >>>>> Trojan.Win32.Pakes.cdw
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\KMaestro\HidKeybd.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\KMaestro\HidKeybd.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
C:\Program Files\KMaestro\HidKeybd.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\Amhooker.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\Amhooker.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
C:\WINDOWS\system32\Amhooker.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "cru629.dat"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
>> Таймаут завершения служб находится за пределами допустимых значений
Проверка завершена
Просканировано файлов: 83433, извлечено из архивов: 58752, найдено вредоносных программ 10, подозрений - 4
Сканирование завершено в 17.07.2008 18:35:05
Сканирование длилось 00:11:45
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

[kps]

Нам нужно, чтобы Вы прикрепили логи, сделанные по правилам http://virusinfo.info/showthread.php?t=1235 .

[slon2006]

Да, да, они уже делаются....

[slon2006]

Вот все логи:

[Гриша]

Отключите восстановление системы и антивирус!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{0E3549F5-B11F-49D5-B4F5-86C18A438180}');
 QuarantineFile('xmm13g.dll','');
 QuarantineFile('C:\WINDOWS\system32\nethesen.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('cru629.dat','');
 QuarantineFile('C:\Documents and Settings\Super-Slon\~tmp1174.exe','');
 DeleteService('mmx19g');
 QuarantineFile('C:\WINDOWS\system32\mmx19g.sys','');
 DeleteService('ProtectedStorageose');
 QuarantineFile('C:\WINDOWS\system32\algb.exe','');
 DeleteService('MSIServerERSvcEventSystem');
 QuarantineFile('C:\WINDOWS\system32\3076r.exe','');
 DeleteService('MSIServerERSvc');
 QuarantineFile('C:\WINDOWS\system32\1042i.exe','');
 QuarantineFile('C:\WINDOWS\system32\advapi3.dll','');
 DeleteFile('C:\WINDOWS\system32\advapi3.dll');
 DeleteFile('C:\WINDOWS\system32\1042i.exe');
 DeleteFile('C:\WINDOWS\system32\3076r.exe');
 DeleteFile('C:\WINDOWS\system32\algb.exe');
 DeleteFile('C:\WINDOWS\system32\mmx19g.sys');
 DeleteFile('C:\Documents and Settings\Super-Slon\~tmp1174.exe');
 DeleteFile('cru629.dat');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('xmm13g.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам,очистите карантин Доктора и повторите логи...

[slon2006]

Не могу отключить восстановление системы (не запускаются свойства). Можно ли запустить скрипт без отключения восстановления???

[slon2006]

Все выполнил. Похоже все заработало!!!! ОГРОМНОЕ Вам всем человеческое спасибо!!!!!

высылаю логи:

[Numb]

Пофиксите с помощью Hijackthis строчки:

Код:

O20 - Winlogon Notify: nethesen - C:\WINDOWS\system32\nethesen.dll (file missing)
O20 - Winlogon Notify: xmm13g - C:\WINDOWS\
O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\wdmaud.sys','');
 QuarantineFile('C:\WINDOWS\system32\nethesen.dll','');
 DeleteFile('C:\WINDOWS\system32\nethesen.dll');
 BC_DeleteFile('C:\WINDOWS\system32\nethesen.dll');
BC_Activate;
ExecuteSysClean;
executerepair(1);
executerepair(6);
executerepair(7);
executerepair(8);
RebootWindows(true);
end.

После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=26632 , как написано в прил. 3 правил, попробуйте снова отключить восстановление системы, и повторите логи, начиная с п. 10 правил.

[slon2006]

Все Ваши требования выполнил. В карантине который Вам отослал не увидел двух файлов которые указаны в скрипте...???
высылаю логи:

[Rene-gad]

В карантине который Вам отослал не увидел двух файлов которые указаны в скрипте...

Это хорошо. В логах чисто. Обновиться нужно - сервис пак 3 уже давно вышел. Какие ещё проблемы замечаете?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 43
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00004.dta - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoad.690
  2. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00005.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  3. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00006.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  4. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00007.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  5. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00008.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  6. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00009.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  7. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00010.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  8. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00011.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  9. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00012.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  10. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00013.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  11. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00014.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  12. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00017.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  13. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00018.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  14. c:\\documents and settings\\super-slon\\мои документы\\разный софт\\avz4\\avz430\\avz4\\quarantine\\2008-04-09\\avz00019.dta - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
  15. c:\\windows\\system32\\advapi3.dll - Rootkit.Win32.Podnuha.yz (DrWEB: Trojan.DownLoad.2085)
  16. c:\\windows\\system32\\algb.exe - Backdoor.Win32.IRCBot.cdq (DrWEB: BackDoor.IRC.Sdbot.3279)
  17. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.dff (DrWEB: Trojan.Packed.511)
  18. c:\\windows\\system32\\1042i.exe - Backdoor.Win32.IRCBot.cdo (DrWEB: BackDoor.IRC.Nite.14)
  19. c:\\windows\\system32\\3076r.exe - Backdoor.Win32.Agent.gdk (DrWEB: BackDoor.IRC.Sdbot.3280)