Не могу установить антивирус AVG
Изначально невозможно было зайти на сайты антивирусов (Dr.Web, AVP, AVG), поставил AVG, просканировал диски, нашлось несколько десятков тел троянов, доступ к сайтам появился, но что-то похоже осталось.
Не могу установить антивирус AVG, установка проходит нормально, после перезагрузки не активируются модули резидентной защиты и поиска руткитов. Прошу посмотреть логи, и посоветовать метод лечения, заранее спасибо за помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin BC_DeleteSvc('afbnp'); BC_DeleteSvc('ajfiuubbk'); BC_DeleteSvc('atschz'); BC_DeleteSvc('aucbvbhhx'); BC_DeleteSvc('auvvq'); BC_DeleteSvc('bbobpn'); BC_DeleteSvc('bhkscd'); BC_DeleteSvc('bjhruuacp'); BC_DeleteSvc('bkbuhaqs'); BC_DeleteSvc('bqvgny'); BC_DeleteSvc('cfipfeu'); BC_DeleteSvc('cjyucv'); BC_DeleteSvc('clrdmuaf'); BC_DeleteSvc('dhwtk'); BC_DeleteSvc('djkgc'); BC_DeleteSvc('dldkt'); BC_DeleteSvc('dljtxobm'); BC_DeleteSvc('dtwfh'); BC_DeleteSvc('duejxbb'); BC_DeleteSvc('efnqtwts'); BC_DeleteSvc('efpqoysa'); BC_DeleteSvc('ehfcq'); BC_DeleteSvc('epdevzr'); BC_DeleteSvc('eppum'); BC_DeleteSvc('gaafrta'); BC_DeleteSvc('gcffpvfx'); BC_DeleteSvc('ggjer'); BC_DeleteSvc('gmxsn'); BC_DeleteSvc('gqzdjhkwf'); BC_DeleteSvc('gtkmhsq'); BC_DeleteSvc('gxjyvqaq'); BC_DeleteSvc('hcsebdgf'); BC_DeleteSvc('hhtktmvjk'); BC_DeleteSvc('hikeouli'); BC_DeleteSvc('hkrokmizi'); BC_DeleteSvc('hqydreebo'); BC_DeleteSvc('hreulafzq'); BC_DeleteSvc('hrrwssfae'); BC_DeleteSvc('hsance'); BC_DeleteSvc('hueewrn'); BC_DeleteSvc('hufki'); BC_DeleteSvc('hzunnlqn'); BC_DeleteSvc('ievjdnlb'); BC_DeleteSvc('ilokshlz'); BC_DeleteSvc('ittvsnn'); BC_DeleteSvc('ivgpu'); BC_DeleteSvc('jjgslvc'); BC_DeleteSvc('jmnstki'); BC_DeleteSvc('jukgynvte'); BC_DeleteSvc('jusve'); BC_DeleteSvc('jvqbc'); BC_DeleteSvc('kecgzc'); BC_DeleteSvc('knxyqp'); BC_DeleteSvc('kvzcw'); BC_DeleteSvc('laupxcba'); BC_DeleteSvc('lcgpl'); BC_DeleteSvc('lgljo'); BC_DeleteSvc('lsarbom'); BC_DeleteSvc('mexcqpr'); BC_DeleteSvc('mfiqc'); BC_DeleteSvc('mgnvpuh'); BC_DeleteSvc('modxyemqu'); BC_DeleteSvc('moesrrk'); BC_DeleteSvc('mvmzac'); BC_DeleteSvc('ndxuofp'); BC_DeleteSvc('nfpdosc'); BC_DeleteSvc('nntlfes'); BC_DeleteSvc('nobro'); BC_DeleteSvc('odbna'); BC_DeleteSvc('oiqsegiw'); BC_DeleteSvc('okllnwqzy'); BC_DeleteSvc('oltfgbfhf'); BC_DeleteSvc('optdgd'); BC_DeleteSvc('oqjrzjocl'); BC_DeleteSvc('pjathmvym'); BC_DeleteSvc('pmjxeqso'); BC_DeleteSvc('pnbrff'); BC_DeleteSvc('ppsigezia'); BC_DeleteSvc('ptlhbm'); BC_DeleteSvc('qazpcgya'); BC_DeleteSvc('qifyhas'); BC_DeleteSvc('qqjbbd'); BC_DeleteSvc('rdnswiz'); BC_DeleteSvc('rkmbfdpn'); BC_DeleteSvc('rnzgvgh'); BC_DeleteSvc('robnjc'); BC_DeleteSvc('rrvbe'); BC_DeleteSvc('rslzad'); BC_DeleteSvc('sbimeto'); BC_DeleteSvc('svsrlhfu'); BC_DeleteSvc('syyxvviau'); BC_DeleteSvc('tesuteo'); BC_DeleteSvc('tfalasero'); BC_DeleteSvc('tglwiwrfa'); BC_DeleteSvc('tqpsuu'); BC_DeleteSvc('tsdtf'); BC_DeleteSvc('twzptuyia'); BC_DeleteSvc('ufhsntair'); BC_DeleteSvc('ufkqasfur'); BC_DeleteSvc('ujmitftho'); BC_DeleteSvc('uqtane'); BC_DeleteSvc('usllxs'); BC_DeleteSvc('utmtb'); BC_DeleteSvc('vkkcshfut'); BC_DeleteSvc('vwnxwwrn'); BC_DeleteSvc('vzsnymtzp'); BC_DeleteSvc('wbdrbc'); BC_DeleteSvc('wdstjjnnj'); BC_DeleteSvc('wefavvz'); BC_DeleteSvc('wlquarles'); BC_DeleteSvc('wzmqtw'); BC_DeleteSvc('ybmhvia'); BC_DeleteSvc('yflaajbw'); BC_DeleteSvc('ygtas'); BC_DeleteSvc('yjjxwfgma'); BC_DeleteSvc('ziykuopzv'); BC_DeleteSvc('zpoec'); BC_DeleteSvc('zptcsynva'); BC_DeleteSvc('zrlymf'); BC_DeleteSvc('zxoguhw'); BC_Activate; RebootWindows(true); end.
Продолжение следует...
Добавлено через 3 минуты
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\system32\gehdzpz.dll',''); DeleteFile('C:\WINNT\system32\gehdzpz.dll'); BC_ImportALL; ExecuteSysClean; BC_ServiceKill('nhfenxka'); BC_ServiceKill('vtctjdj'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=91584).
Сделайте новые логи.
Последний раз редактировалось Bratez; 12.11.2010 в 15:53. Причина: Добавлено
I am not young enough to know everything...
карантин загружен, новые логи
Отключите сейчас! Потом можете включить обратно.Восстановление системы: включено
Пофиксите в HijackThis:
Больше ничего плохого не видно.Код:O4 - HKLM\..\Run: [GEST] = O20 - AppInit_DLLs:
Попробуйте теперь переустановить AVG.
I am not young enough to know everything...
прошу прощения за включенное восстановление системы, все заработало, большое спасибо
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\system32\\gehdzpz.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Trojan.Generic.7116362, AVAST4: Win32:Confi [Wrm] )
Уважаемый(ая) SvcHost, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
