нет Интернета, персональных настроек, многие программы испорчены и не запускаются

[StepIn]

Был отключен антивирус и фаервол. Автозапуск с разных носителей разрешен. ЮСБ флешка оказалась заражена и стала заражать систему. В результате заражения нет Интернета, персональных настроек, многие программы испорчены и не запускаются. И т.д.. Немного почистил, система стала загружаться. Проверьте пожалуйста.

[AndreyKa]

А кто удалил системный файл C:\WINDOWS\system32\svchost.exe?

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

var j:integer; NumStr:string;
begin
 SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
 DeleteFile('C:\WINDOWS\tasks\At1.job');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate; 
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[StepIn]

Скрипт выполнил. Вот лог.

>>>>>> А кто удалил системный файл C:\WINDOWS\system32\svchost.exe?
По-видимому это сделал вирус. Когда я вставил ЮСБ стик, то отошел на некоторое время от компьютера, а он все это время делал свое грязное дело. Вирус был в основном Win32.HLLW.Autoruner.11962.

[AndreyKa]

svchost.exe надо восстановить, взяв с другого компьютера или из дистрибутива Windows.
Автоматичесокое обновление Windows, похоже, сложно будет воостановить, если оно вообще было в этой сборке.
Пофиксте в HijackThis следующие строки:

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe,
O4 - HKCU\..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe
O4 - HKUS\S-1-5-21-73586283-1532298954-1417001333-1003\..\Run: [amva] C:\WINDOWS\system32\amvo.exe (User '?')
O4 - HKUS\S-1-5-21-73586283-1532298954-1417001333-1003\..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe (User '?')
O4 - HKUS\S-1-5-21-73586283-1532298954-1417001333-1003\..\Run: [] (User '?')

Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Сделайте новый лог HijackThis и приложите сюда.

[thyrex]

А также

Выполните скрипт в AVZ

Код:

var AutoUpdates : TStrings;
begin
 ClearLog;
 AutoUpdates:= TStringList.Create;
 ExpRegKeyEx('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', AutoUpdates);
 ExpRegKeyEx('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', AutoUpdates);
 AddToLog(AutoUpdates.Text);
 SaveLog('c:\AutoUpdates.log');
 AutoUpdates.Free;
end.

c:\AutoUpdates.log прикрепите к сообщению

[StepIn]

Пофиксил в HijackThis. Вот новый лог.

>>> svchost.exe надо восстановить, взяв с другого компьютера или из дистрибутива Windows.
Переписал svchost.exe с дистрибутива. Хотя сам файл svchost.exe существовал.

>>> Выполните в AVZ скрипт из файла ScanVuln.txt
Скрипт выполнил. Скачал необходимые обновления. Но установить обновления не удалось. Ошибка: "Setup could not verify the integrity of the file Update.inf. Make sure the Cryptographic service is running on this computer."

>>> Выполните скрипт в AVZ
Скрипт у меня дает ошибку: "Undeclared identifier: 'RegBackUp' in the position 4:11".

[thyrex]

Скрипт у меня дает ошибку

Поправил. Выполните, пожалуйста

[StepIn]

Скрипт у меня дает ошибку: Identifier expected в позиции 1:19

[thyrex]

Упс, еще одну ошибку упустил. Исправил.

[StepIn]

Скрипт выполнил. К сожалению лог пуст. На всякий случай прикрепляю его к сообщению.

[thyrex]

Скачайте файл во вложении, распакуйте и внесите информацию в реестр двойным кликом левой кнопки мыши на каждом из файлов.

Сделайте новый лог virusinfo_syscheck.zip

[StepIn]

Все сделал, вот новый лог.

[thyrex]

Что сейчас с проблемой? Автоматическое обновление восстановили.

[StepIn]

Нет, ничего не изменилось. Проблема в том, что в системе отсутствует практически все, что касается сети. Попробую описать все это.
В консоли Services (Службы) вкладка Extended как бы пуста, а во вкладке Standard есть список служб. При этом нельзя ничего сделать со службой, ни остановить, ни стартануть, ни даже посмотреть свойства конкретной службы. Точно не могу утверждать, но, кажется, количество служб стало меньше.
Следующее.
Все что касается сети в консоли (My Computer/Properties) лучше показать на рисунках. Изоображения смотрите во вложениях.
А вот что получается, если посмотреть (My Network Places/Properties):
Когда пробуешь сделать что-то сетевыми настройками, получаем сообщение «The Network Connections Folder was unable to retrieve the list of Network adapters on your mashine. Please make sure that the Network Connections service is enabled and running. ».
Скаченные обновления установить не получается. Вот сообщение: «Setup could not verify the integrity of the file Update.inf. Make sure the Cryptographic service is running on this computer. ». При этом обновление Adobe flash player удалось установить.
Я понимаю, что эти проблемы напрямую не относятся к профилю форума, но может быть, уважаемые хелперы, что-то подскажите.

[AndreyKa]

Запустите приложенный файл. Перезагрузите компьютер.
Помогло?

[StepIn]

К сожалению, все без изменений.

[AndreyKa]

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[StepIn]

Вот новый лог.

[AndreyKa]

Надо было не просто скопировать файл svchost.ex_ из дистрибутива и переимеровать в svchost.exe. А ещё и разархивировать. Переименуйте его в svchost.zip и распакуйте.

[StepIn]

AndreyKa, спасибо большое! Не знал, что в дистрибутиве файлы архивированы... Когда ранее скопировал svchost.ex_ и переименовал его, заметил, что размер файла меньше обычного, а спросить об этом забыл.
Теперь все работает. Сделаю обновления системы, протестирую, и сделаю новые логи. Еще раз, огромное спасибо!