после лечения системы не работают антивирусы по окончании установки

[PADlabs]

ОС: MS Windows XP SP3

Опишу ситуацию по стадиям:
глубоко извиняюсь за незнание требований VirusInfo заранее! (и до некоторых вещей я просто недодумался, что они могут что-то изменить)
требования я узнал только после того что "снял" и "зажурналил" и ушел

• После загрузки инструментов

система была заражена кучей вирусов (сейчас точные названия не припомню, но один из них Sality)
1) было установлено 2 антивируса (которые не обновляли), Avira AntiVir Personal и Avast!
оба совсем не загружались в память (даже среди запущенных процессов отсутствовали)
возможны только 2 варианта работы с антивирусами: удаление и их установка (но сами они после установки не могут запуститься)
насколько это было возможно лечение проведено бесплатными утилитами AVP Tool и DrWeb Cure IT с последними базами (более они ничего не находят)
про всем известные live-cd я как-то забыл (да и не было диска под рукой)

2) в безопасном режиме ПК не загружается, начинает загружаться список процессов (белым цветом на черном экране) и вылетает в перезагрузку

3) Антивирусная утилита AVZ работала без всяких проблем и ограничений со стороны зловредов

4) HiJackThis не смог скачать и установить (не было возможности на месте выйти в интернет)

5) Восстановление системы отключена через остановку соответствующей службы (что равносильно отключению в свойствах системы)

6) Программу-браузер запускал, только не на время диагностики (не знал во время диагностики о требованиях VirusInfo)

• Диагностика

1) После запуска AVZ я создал протокол исследования системы (опять же ссылаюсь на то, что ранее требования VirusInfo были не известны) в двух вариантах (список процессов + DLL и список DLL для каждого процесса)
также провел обычное сканирование с максимальной эвристикой (сохранил лог)

2) Данного события не сделал (без знания требований сам не додумался до этого)

3) Программы HijackThis не было под рукой в нужное время

• Приложение 1

Отключено

• Приложение 2

Не выполнил (по причине незнания требований)

• Приложение 3

Не выполнил (по причине незнания требований)

• Дополнительная информация:

иногда после загрузки ПК пропадают значки в трее (explorer не вылетает)
например вставил флешку, поработал с ней, а потом смотришь, значка безопасного отключения нет

просматривая утилитой последней версии Rootkit Unhooker LE я не нашел никаких скрытых перехватов (все подозрительные файлы проверял при помощи сервиса VirusTotal, и оказалось что они "чистые")

утилита AutoRuns от SysInternals никаких подозрительных файлов в автозагрузке не показала (присматривался к каждой записи)

При установке антивирусов заметил одну важную особенность: сразу после установки и нажатии на клавишу Готово (по окончании установки) происходил запуск bat или cmd скрипта (длился менее секунды, так что разобрать что-то на экране было невозможно)
тем не менее сделал поиск всех этих скриптов в системе, и нашел тот, который выполнялся (странным он мне не показался, хотя выполнялся именно он)
и после выполнения данного скрипта ни один установленный антивирус не мог запуститься (даже службы не могли стартовать, в том числе после перезагрузки)

все скрипты привожу также в архиве (в том числе и тот что выполнялся после установки антивирусов)

как я понял в дальнейшем "сидит" там что-то сильное, что не могут обнаружить бесплатные утилиты и что хорошо себя скрывает

результаты сканирования скриптов и подозрительных файлов, которые бесплатные утилиты с последними базами считали чистыми на VirusTotal

[pig]

Внимательно прочитать, аккуратно выполнить (всё-таки желательно)
Архив со скриптами запаролить (пароль virus) и прислать через красную ссылку наверху.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DRIVE\BIN\april2x2.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

[PADlabs]

Выполните скрипт в AVZ
Компьютер перезагрузится.

прислал
плюсом сделал все по правилам, вот логи

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'c:\wuauserv.log');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'c:\BITS.log');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\UF1QDVRJ\scanner[1].zip','');
 DeleteService('amsint32');
 DeleteService('abp470n5');
 DeleteFile('C:\WINDOWS\system32\drivers\upokmk.sys');
 DeleteFile('C:\DRIVE\BIN\april2x2.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SPREADSHITx');
 DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\UF1QDVRJ\scanner[1].zip');
DeleteFileMask('C:\DRIVE', '*.*', true);
DeleteDirectory('C:\DRIVE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

c:\wuauserv.log и c:\BITS.log прикрепите к сообщению

Сделайте новые логи

[PADlabs]

свежие логи сделал, указал загрузить, а они после загрузки не добавились в сообщение (интересно они заменили старые или нет)

после выполнения скрипта кис установился без проблем, проблема с антивирусами решилась

ох, беда с этими вложениями...

а что с этими двумя службами? я их в списке служб и не увидел даже
они удалены?

[polword]

распакуйте файлы из архива и внесите информацию в реестр, запустив их

[PADlabs]

служба BITS так и не появилась в службах
служба Автоматического обновления появилась

[thyrex]

Скачайте архив и внесите в реестр информацию для службы BITS

[PADlabs]

после лечения появилось побочное действие!

при инфицировании к ПК был подключен принтер штрих-кодов
после лечения он стал печатать с пробелами (некоторые места просто пропускает, общее число такое каким и должно быть, но из-за пробелов расходуется больше ленты)
временно помогает обновление/переустановка драйвера на это устройство (примерно на месяц, потом продолжает печатать с пробелами)

есть предположение, что алгоритм работы винды с драйверами нарушен (пусть не со всеми, но выходит что это так)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 61
• В ходе лечения вредоносные программы в карантинах не обнаружены