Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не могу скачать ни одного антивируса, HijackThis устанавливается, но не запускается (http://forum.oszone.net/showthread.php?t=179378)

homychok 29-06-2010 11:09 1443659
Не могу скачать ни одного антивируса, HijackThis устанавливается, но не запускается
 
Помогите плиз. Windows XP
Поймал какую-то гадость, AVZ логи прилагаются

thyrex 29-06-2010 11:27 1443671
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\cmstp.exe','');
 QuarantineFile('C:\Documents and Settings\Ludmila\Local Settings\Temp\TMP9.tmp','');
 QuarantineFile('C:\thumbs.db','');
 QuarantineFile('C:\WINDOWS\rak.kul','');
 DeleteFile('C:\WINDOWS\rak.kul');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
 DeleteFile('C:\thumbs.db');
 DeleteFile('C:\Documents and Settings\Ludmila\Local Settings\Temp\TMP9.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

У Вас вирус, ворующий пароли. Как можно быстрее смените все пароли. Этот же вирус блокирует доступ к антивирусным сайтам.

Пробуйте скачать обычный AVZ, обновите его базы и сделайте новые логи. Пробуйте сделать лог HiJack (если не будет получаться, переименуйте HiJack)

homychok 29-06-2010 14:43 1443828
Цитата:
Цитата thyrex
Пробуйте скачать обычный AVZ, обновите его базы и сделайте новые логи. »
Обновление не проходит, ругается на старую версию (4.30) хотя скачиваю с офсайта вроде, помеченную как 4.32...

Письмо отправил

Drongo 29-06-2010 14:58 1443844
homychok, Скачайте отсюда - базы обновлены сегодня.

homychok 30-06-2010 15:46 1444591
Цитата:
homychok, Скачайте отсюда - базы обновлены сегодня.
не запускается avz

Drongo 30-06-2010 16:05 1444607
Цитата:
Цитата homychok
не запускается avz »
Переименуйте его в 123.com или воспользуйтесь полиморфной версией - (от 04.06.10)

homychok 30-06-2010 18:23 1444709
Вложений: 2
Переименовал, заработало, прикладываю логи
Скачал и установил nod32, после проверки на вирусы просит перезгрузки и зависает в самом начале загрузки.
после удаления антивируса через safe mode комп грузится нормально.

Drongo 30-06-2010 18:39 1444717
homychok, Выполните скрипт

Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
Приложите к следующему сообщению файл fystemRoot.log

Потом этот скрипт

Код:
begin
 ExecuteRepair(9);
 ExecuteRepair(20);
RebootWindows(true);
end.
Попробуйте после выполнения скриптов скачать и запустить антивирус.

Повторите логи + HiJackThis

homychok 30-06-2010 20:26 1444771
Цитата:
Попробуйте после выполнения скриптов скачать и запустить антивирус.
с нод32 ситуация повторяется, логи прикладываю

при выполнении скриптов в аське набирается вот такой текст
Цитата:
еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуы
ееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыее
уыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуы
ееуыееуые

help? 30-06-2010 20:29 1444775
Цитата:
Цитата homychok
при выполнении скриптов в аське набирается вот такой »
Я еще не увидел, но скорее всего это проверка авз на клавиатурные перехватчики.

homychok 30-06-2010 20:33 1444779
Вложений: 3
вот логи

Drongo 30-06-2010 21:12 1444804
Цитата:
Цитата help?
Я еще не увидел, но скорее всего это проверка авз на клавиатурные перехватчики. »
так оно и есть.

Доступ к сайтам появился?

thyrex 30-06-2010 22:02 1444839
Пофиксите в HiJack
Код:
O20 - AppInit_DLLs: winmm.dll

homychok 01-07-2010 00:44 1444914
Цитата:
Доступ к сайтам появился?
да, появился
Цитата:
Пофиксите в HiJack
пофиксил

thyrex 01-07-2010 09:40 1445034
Выписываем из лазарета

Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Обновите JavaRE


Время: 16:50.

Время: 16:50.
© OSzone.net 2001-