Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».
begin
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
end.
В реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
поменяйте параметр ImagePath %fystemroot%\system32\svchost.exe на %systemroot%\system32\svchost.exe
Можно твиком реестра
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
Если не получится (веткы реестра заблокированы), верните права на данные ветки или скачайте и запустите IceSword (http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip)
Во вкладке Registry найдите указанные ветки реестра и поменяйте везде параметр ImagePath %fystemroot%\system32\svchost.exe на %systemroot%\system32\svchost.exe
См. Как искать и удалять ключи реестра с помощью IceSword (http://virusinfo.info/showthread.php?t=39413)
Система загружена в режиме защиты от сбоев (SafeMode)
Сделайте лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) в обычном режиме, не забудьте включить AVZM, можете использовать полиморфный AVZ (http://ifolder.ru/12095547)
Скачайте gmer со случайным именем файла(рекомендуется) здесь (http://gmer.net/download.php), либо gmer.zip здесь (http://www.gmer.net/gmer.zip) или здесь (http://www2.gmer.net/gmer.zip), закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора). После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Внимание! Если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов
• Sections
• IAT/EAT
• Show all
Файл C:\WINDOWS\System32\user32.dll у вас изменен, результат проверки VT (http://www.virustotal.com/analisis/f03fc4a6a9db6b91ddc0f21064ff369fd99aa87a13ebe1eb4e0fb7e26c4b224d-1242302077), а также часть системных файлов, возможно у вас сборка или результат установки VistaDriveIcon (заменяет часть сист. файлов), рекомендую отправить файл на проверку в вирлаб, т.к. вы используете Avira - на virus@free-av.com ; virus_malware@avira.com (отправлять в запароленном архиве, указав пароль в письме) и также можете отправить на newvirus@kaspersky.com, если файл окажутся чистыми, то по логам больше ничего плохого, если проблема ещё осталась, деинсталлируйте VistaDriveIcon, выполните восстановление системных файлов и далее можем продолжить проверку другими утилитами.
Irbis, по логу RootReperal ничего плохого. Вы его прикрепили, потому что у вас ещё какие-то проблемы, связанные с вирусами есть?
Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd
Или сохраните текст ниже как gmer_del.bat
sc delete gmer
del %SystemRoot%\system32\drivers\gmer.sys
del %SystemRoot%\gmer.dll
del %SystemRoot%\gmer.exe
del %SystemRoot%\gmer.ini
del %SystemRoot%\gmer_uninstall.cmd
pause
И запустите gmer_del.bat
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов и перезагрузите компьютер или выполните скрипт
begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true);
end.
Irbis, Пожалуйста. Через 5 дней, если в теме активности нет, она, как правило, закрывается. Для открытия темы вы можете обратиться в ПМ или создать новую тему (если появится новая проблема)
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights (http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi) см. здесь (http://saule.sporaw.ru/library/droprights.html) и здесь (http://virusinfo.info/showthread.php?t=2852) или SanboxIE (http://www.sandboxie.com), пользоваться браузером Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)
Рекомендую также использовать McAfee SiteAdvisor (http://www.siteadvisor.com/download/windows.html)
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем (http://forum.oszone.net/forum-20.html)
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor (http://www.belarc.com/free_download.html) доп. см. здесь (http://virusinfo.info/showthread.php?t=19517)
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI) (http://secunia.com/vulnerability_scanning/online/)
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/),
Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ (http://www.z-oleg.com/secur/news/news1347.php)
Чистого вам интернета!
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC