-
Junior Member
- Вес репутации
- 56
Помогите очиститься от вирусов + не работает удаление программ
На компе найдены были вирусы, часть из них, кажется, до сих пор активна.
Я пытался поставить Comodo Internet Security, сначала вообще сайты антивирусов, этот сайт и сайт комодо не открывались, тогда я CureIt-ом нашёл и убил пару вирусов.
Потом установил всё же CIS, и то ли с ним это связано, то ли с чем-то ещё... после перезагрузки-двух комп стал зависать на этапе "загрузка windows", (это последний шаг перед выбором пользователя в системе) т.е. комп не зависает, но и дальше загрузка не идёт. Через 2 часа вроде всё "отвисло" и следующая перезагрузка была уже нормальной, потом снова с таким зависанием. В безопасном режиме грузится нормально. Убрал CIS из автозагрузки (в безопасном режиме) и загрузился в обычном режиме - всё снова ок, но:
1. вирусы всё же остались (это видно из логов AVZ)
2. + появилась проблема: не могу через "установку и удаление программ" удалить ни 1 программу - пишет ошибку:
"Нет доступа к службе установки Windows. Возможно система запущена в безопасном режиме или Windows Installer установлен неправильно. Обратитесь в службу поддержки".
Последний раз редактировалось Drug0y; 09.04.2010 в 18:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Temp\ALSysIO.sys','');
DeleteService('ALSysIO');
DeleteFile('C:\Temp\ALSysIO.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Внимание !!! База поcледний раз обновлялась 25.10.2009 необходимо обновить базы при помощи автоматического обновления
Обновите базы!
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
shapel
выполнил
Сообщение от
shapel
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Результат загрузки
Файл сохранён как 100409_192742_Quarantine_4bbf476ea82e9.zip Размер файла 11976415 MD5 9b8bfc9a30d52fba732d3387756d33ac
Сообщение от
shapel
Обновите базы!
спасибо, сам не заметил (может автор мог бы приделать промт на автоапдейт при запуске авз?). Обновил.
Сообщение от
shapel
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer
чего-то он ну уж очень долго сканирует, проц повесил под 100%, хотя вроде даже сканирование уже завершено, но сделать ничего не возможно, т.к. комп на каждый клик минут по 5 отзывается... попозже попробую лог вытащить и сюда его залить. Пока могу лишь сказать что он ругался на ajwsg, называя его руткитом и что он встроился в svchost.exe (в этом логе hijackthis-a этот процесс даже не в списке запущенных теперь, возможно поэтому и ругается "установка и удаление программ")
update:
добавил лог GMER
Последний раз редактировалось AndreyKa; 02.08.2010 в 00:32.
-
Junior Member
- Вес репутации
- 56
при сканировании gmer-ом процесс lsass.exe ест 50% ресурсов ЦПУ, а оставшиеся 49% - сам gmer. Стоит ли прибить lsass.exe в таком случае?
приаттачил лог gmer-а со снятой галкой "файлы" при сканировании.
Последний раз редактировалось AndreyKa; 02.08.2010 в 00:32.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится u8q0cmwb.exe (gmer)
Код:
u8q0cmwb.exe -del service ajwsg
u8q0cmwb.exe -del file "C:\WINDOWS\system32\tekyecd.dll"
u8q0cmwb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ajwsg"
u8q0cmwb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ajwsg"
u8q0cmwb.exe -reboot
И запустите cleanup.bat. Компьютер перезагрузится. Сделайте новый лог Gmer
-
-
Junior Member
- Вес репутации
- 56
shapel, вообще он 2-жды ругнулся: 1. не удалось удалить такой сервис 2. нет такого файла tekyecd.dll, но повторный скан не выявил больше руткита, кажется он был убит при выполнении проверки.
лог гмер-а не могу показать, т.к. при проверке файлов гмер вешает систему, и потом даже если прибить его процесс - комп уже практически ни на что не реагирует.
осталась проблема, что невозможно удалить ни 1 программу (ошибка та же), сделал логи авз и хайджекзыса
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\felix.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 56
shapel, это программа-авторизатор, необходимая чтоб на том компе был инет (дурацкий провайдер birulevo.net) на их сайте можно скачать этого феликса (на главной странице прям справа), я отправлял на вирустотал - файл чист.
Добавлено через 16 минут
shapel, спасибо, что помогли очиститься от вирусов. Если ещё расскажете как восстановить функционал винды (не удаляются программы через "установку и удаление"), то буду очень рад.
Последний раз редактировалось Drug0y; 11.04.2010 в 01:30.
Причина: Добавлено
-
Посмотрите в Пуск - Выполнить - services.msc - есть ли служба Windows Installer и какой тип запуска у нее
-
-
Junior Member
- Вес репутации
- 56
Нда, практически весь список служб - имеет Тип запуска - блокировано, и соответственно, статус - отключено. Можно ли разом всему списку присвоить дефолтные значения для автозапуска? Если да, то - как?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\мои документы\мои рисунки\vk.rar - Trojan.BAT.Qhost.fp ( DrWEB: archive: Trojan.Hosts.52, BitDefender: Trojan.Generic.2300890 )
-