Запускается только Kaspersky VRT, лечит, но не помогает

**snowdeath** · 22.10.2009, 08:32

Из всех антивирусов (avz, drweb cureit, KAV7) запускается только VRT. Устанавливаю KAV7, файлы распаковываются, запускается инсталлятор, файлы копируются, а дальше все. окно активации не вылазит. VRT обнаружил только Sality, я полечил (ставил все по максимуму в настройках и поиск руткитов детальный и все файлы проверять, все как по мануалу). Безопасный режим не работает.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**snowdeath** · 22.10.2009, 08:46

плюс постоянно блокируется диспетчер задач и редактор реестра. включаю через политики безопасности их, они через 10 секунд обратно отключаются

**Bratez** · 22.10.2009, 09:39

Ваш Sality по-прежнему жив.
Лучшее средство от него тут:
http://www.freedrweb.com/livecd/.

После лечения выполните такой скрипт в AVZ:

Код:

begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true); 
end.

и после перезагрузки сделайте комплект логов по правилам.

**snowdeath** · 27.10.2009, 07:58

пролечил его с помощью live cd drweb. удалил неизлечимые. вот логи

**snowdeath** · 27.10.2009, 08:22

эти логи сделал до выполнения скрипта... каюсь. переделать?

**Bratez** · 27.10.2009, 14:36

Выполните еще такой скрипт:

Код:

begin
SetAVZGuardStatus(True);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ctfmon.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
DelBHO('{E496675D-472B-4A82-A4F7-2EBBE5DA6754}');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.

Очистите папку:
C:\Documents and Settings\илья\Local Settings\Temp
и временные файлы IE через Свойства обозревателя.

После этого логи повторите.
Сообщите, остались ли каке-то проблемы?

**snowdeath** · 27.10.2009, 16:23

вот еще раз логи. один только момент - пропал значок индикатора раскладки. ctfmon который. и такой вопрос. я Internet Explorer при сборе всех трех логов оставляю открытым - это правильно? т.е. вот эти вот последние логи, которые в этом сообщении - все три раза он был открыт.

**thyrex** · 27.10.2009, 23:31

Выполните скрипт для AVZ из этой темы http://virusinfo.info/showthread.php?t=43700

Файл fystemRoot.log прикрепите к сообщению

**snowdeath** · 29.10.2009, 07:06

вот.

**Bratez** · 29.10.2009, 09:15

Internet Explorer при сборе всех трех логов оставляю открытым - это правильно?

Да.

Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: crypt - C:\WINDOWS\

Выполните скрипт в AVZ:

Код:

begin
RegKeyStrParamWrite( 'HKCU', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CTFMON.EXE', 'C:\WINDOWS\system32\CTFMON.EXE');
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).