-
Junior Member
- Вес репутации
- 50
Не могу установить антивирус AVG
Изначально невозможно было зайти на сайты антивирусов (Dr.Web, AVP, AVG), поставил AVG, просканировал диски, нашлось несколько десятков тел троянов, доступ к сайтам появился, но что-то похоже осталось.
Не могу установить антивирус AVG, установка проходит нормально, после перезагрузки не активируются модули резидентной защиты и поиска руткитов. Прошу посмотреть логи, и посоветовать метод лечения, заранее спасибо за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
BC_DeleteSvc('afbnp');
BC_DeleteSvc('ajfiuubbk');
BC_DeleteSvc('atschz');
BC_DeleteSvc('aucbvbhhx');
BC_DeleteSvc('auvvq');
BC_DeleteSvc('bbobpn');
BC_DeleteSvc('bhkscd');
BC_DeleteSvc('bjhruuacp');
BC_DeleteSvc('bkbuhaqs');
BC_DeleteSvc('bqvgny');
BC_DeleteSvc('cfipfeu');
BC_DeleteSvc('cjyucv');
BC_DeleteSvc('clrdmuaf');
BC_DeleteSvc('dhwtk');
BC_DeleteSvc('djkgc');
BC_DeleteSvc('dldkt');
BC_DeleteSvc('dljtxobm');
BC_DeleteSvc('dtwfh');
BC_DeleteSvc('duejxbb');
BC_DeleteSvc('efnqtwts');
BC_DeleteSvc('efpqoysa');
BC_DeleteSvc('ehfcq');
BC_DeleteSvc('epdevzr');
BC_DeleteSvc('eppum');
BC_DeleteSvc('gaafrta');
BC_DeleteSvc('gcffpvfx');
BC_DeleteSvc('ggjer');
BC_DeleteSvc('gmxsn');
BC_DeleteSvc('gqzdjhkwf');
BC_DeleteSvc('gtkmhsq');
BC_DeleteSvc('gxjyvqaq');
BC_DeleteSvc('hcsebdgf');
BC_DeleteSvc('hhtktmvjk');
BC_DeleteSvc('hikeouli');
BC_DeleteSvc('hkrokmizi');
BC_DeleteSvc('hqydreebo');
BC_DeleteSvc('hreulafzq');
BC_DeleteSvc('hrrwssfae');
BC_DeleteSvc('hsance');
BC_DeleteSvc('hueewrn');
BC_DeleteSvc('hufki');
BC_DeleteSvc('hzunnlqn');
BC_DeleteSvc('ievjdnlb');
BC_DeleteSvc('ilokshlz');
BC_DeleteSvc('ittvsnn');
BC_DeleteSvc('ivgpu');
BC_DeleteSvc('jjgslvc');
BC_DeleteSvc('jmnstki');
BC_DeleteSvc('jukgynvte');
BC_DeleteSvc('jusve');
BC_DeleteSvc('jvqbc');
BC_DeleteSvc('kecgzc');
BC_DeleteSvc('knxyqp');
BC_DeleteSvc('kvzcw');
BC_DeleteSvc('laupxcba');
BC_DeleteSvc('lcgpl');
BC_DeleteSvc('lgljo');
BC_DeleteSvc('lsarbom');
BC_DeleteSvc('mexcqpr');
BC_DeleteSvc('mfiqc');
BC_DeleteSvc('mgnvpuh');
BC_DeleteSvc('modxyemqu');
BC_DeleteSvc('moesrrk');
BC_DeleteSvc('mvmzac');
BC_DeleteSvc('ndxuofp');
BC_DeleteSvc('nfpdosc');
BC_DeleteSvc('nntlfes');
BC_DeleteSvc('nobro');
BC_DeleteSvc('odbna');
BC_DeleteSvc('oiqsegiw');
BC_DeleteSvc('okllnwqzy');
BC_DeleteSvc('oltfgbfhf');
BC_DeleteSvc('optdgd');
BC_DeleteSvc('oqjrzjocl');
BC_DeleteSvc('pjathmvym');
BC_DeleteSvc('pmjxeqso');
BC_DeleteSvc('pnbrff');
BC_DeleteSvc('ppsigezia');
BC_DeleteSvc('ptlhbm');
BC_DeleteSvc('qazpcgya');
BC_DeleteSvc('qifyhas');
BC_DeleteSvc('qqjbbd');
BC_DeleteSvc('rdnswiz');
BC_DeleteSvc('rkmbfdpn');
BC_DeleteSvc('rnzgvgh');
BC_DeleteSvc('robnjc');
BC_DeleteSvc('rrvbe');
BC_DeleteSvc('rslzad');
BC_DeleteSvc('sbimeto');
BC_DeleteSvc('svsrlhfu');
BC_DeleteSvc('syyxvviau');
BC_DeleteSvc('tesuteo');
BC_DeleteSvc('tfalasero');
BC_DeleteSvc('tglwiwrfa');
BC_DeleteSvc('tqpsuu');
BC_DeleteSvc('tsdtf');
BC_DeleteSvc('twzptuyia');
BC_DeleteSvc('ufhsntair');
BC_DeleteSvc('ufkqasfur');
BC_DeleteSvc('ujmitftho');
BC_DeleteSvc('uqtane');
BC_DeleteSvc('usllxs');
BC_DeleteSvc('utmtb');
BC_DeleteSvc('vkkcshfut');
BC_DeleteSvc('vwnxwwrn');
BC_DeleteSvc('vzsnymtzp');
BC_DeleteSvc('wbdrbc');
BC_DeleteSvc('wdstjjnnj');
BC_DeleteSvc('wefavvz');
BC_DeleteSvc('wlquarles');
BC_DeleteSvc('wzmqtw');
BC_DeleteSvc('ybmhvia');
BC_DeleteSvc('yflaajbw');
BC_DeleteSvc('ygtas');
BC_DeleteSvc('yjjxwfgma');
BC_DeleteSvc('ziykuopzv');
BC_DeleteSvc('zpoec');
BC_DeleteSvc('zptcsynva');
BC_DeleteSvc('zrlymf');
BC_DeleteSvc('zxoguhw');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Продолжение следует...
Добавлено через 3 минуты
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\gehdzpz.dll','');
DeleteFile('C:\WINNT\system32\gehdzpz.dll');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('nhfenxka');
BC_ServiceKill('vtctjdj');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=91584).
Сделайте новые логи.
Последний раз редактировалось Bratez; 12.11.2010 в 15:53.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
карантин загружен, новые логи
-
Восстановление системы:
включено
Отключите сейчас! Потом можете включить обратно.
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [GEST] =
O20 - AppInit_DLLs:
Больше ничего плохого не видно.
Попробуйте теперь переустановить AVG.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
прошу прощения за включенное восстановление системы, все заработало, большое спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\system32\\gehdzpz.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Trojan.Generic.7116362, AVAST4: Win32:Confi [Wrm] )
-