Не запускается часть программ, regedit и т.д.

**And24** · 08.05.2009, 09:40

Добрый день.
Помогите побороть проблему. После возвращения из командировки на рабочей машине обнаружился ряд проблем:
не запускается ряд программ
при запуске regedit перезагружается эксплорер (regedit не запускается)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 08.05.2009, 10:31

- Выполните скрипт

Код:

begin
executerepair(1);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
SetAVZPMStatus(true);
RebootWindows(true);
end.

После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите Касперского до версии 8.0.0.506

**And24** · 08.05.2009, 11:29

скрипт выполнил.
Проблемы с запуском как были, так и остались. Что нужно сделать что бы победить последствия?
Новые логи прикладываю.

**Rene-gad** · 08.05.2009, 11:37

Сообщение от And24

скрипт выполнил.

Я уже написал, что после скрипта делать надо.
В логах ничего подозрительного не видно.

**And24** · 08.05.2009, 12:26

То есть установка Сервис Пак 3 - решит эту проблему?

А что был за "зверь" на компьютере? И как быстро появится обновление с лекарством против него у того же Касперского?

**Rene-gad** · 08.05.2009, 12:56

Сообщение от And24

То есть установка Сервис Пак 3 - решит эту проблему?

Возможно - да.

Сообщение от And24

А что был за "зверь" на компьютере?

В логах ничего подозрительного, я же написал.

**And24** · 08.05.2009, 14:16

Сообщение от Rene-gad

Возможно - да.
В логах ничего подозрительного, я же написал.

То есть вируса не было? А почему перестал запускаться Regedit и некоторые другие программы?

**Rene-gad** · 08.05.2009, 14:43

Сообщение от And24

То есть вируса не было?

Я этого не утверждал. Отсутсвие аномалий в каких-либо логах не является свидетельством чистоты системы.

**And24** · 08.05.2009, 15:49

Сообщение от Rene-gad

Я этого не утверждал. Отсутсвие аномалий в каких-либо логах не является свидетельством чистоты системы.

Что можете посоветовать сделать в этой ситуации?
Все снести и переустановить в принципе не очень сложная задача. Жаль конечно своего времени, но ведь это не панацея. В конторе машин 40 - поэтому хотелось бы понять что это и как с ним бороться.

**Rene-gad** · 08.05.2009, 18:56

Сообщение от And24

Что можете посоветовать сделать в этой ситуации?

Это риторический вопрос

http://technet.microsoft.com/en-us/l.../cc722487.aspx
http://technet.microsoft.com/en-us/l.../cc722488.aspx

**And24** · 08.05.2009, 19:58

Судя по массовому появлению тем подобных моей эта проблема пока ни как не решается

Врядли страждущих утешат ответы что в логах все чисто, но система-то, увы, не работает.

**And24** · 12.05.2009, 13:28

Установил SP3. Как и ожидалось ни к каким положительным действиям это не привело. Regedit, cmd и прочие программы как не запускались, так и не запускаются. При переименовании этих файлов - все ок - работают.
Еще раз прикладываю логи. Прошу посмотреть, либо посоветуйте чем еще можно просканировать систему.

**Rene-gad** · 12.05.2009, 13:47

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\Documents and Settings\Admin\Local Settings\Temp\tmpF.tmp.exe','');
QuarantineFile('H:\Documents and Settings\Admin\Local Settings\Temp\tmpF.tmp','');
DeleteFile('H:\Documents and Settings\Admin\Local Settings\Temp\tmpF.tmp');
DeleteFile('H:\Documents and Settings\Admin\Local Settings\Temp\tmpF.tmp.exe');
DeleteService('Bonjour Service');
DeleteFile('%programfiles%\bonjour\mdnsresponder.exe');
DeleteFile('%programfiles%\bonjour\mdnsNSP.dll');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(14);
executerepair(16);
executerepair(17)
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

**Гриша** · 12.05.2009, 14:01

Новые логи делать этим AVZ http://depositfiles.com/files/j3apocwxd

**And24** · 12.05.2009, 15:50

Прикладываю логи сделанные новым AVZ по ссылке из поста Гриши.

Карантин отправляю. Правда сделан он еще до поста Гриши и файлы в нем нулевого размера

Файл сохранён как 090512_155108_virus_4a0962aca36a1.zip
Размер файла 1236
MD5 c5a9447106a33dc7b8b42d3ec063deb0

В новом AVZ карантин пустой.