Здравствуйте.

С праздником Победы!

У меня стандартная проблема: не обновляется AVZ (cм. скриншот), также невозможно зайти на сайт AVZ, русский сайт Касперского... и, собственно, всё – других неприятностей не заметил. Началось давно, сильно не мешает, но неприятно.

Надеюсь на вашу помощь, ибо свежий CureIt с Касперским 7.0 ничего толкового сделать не смогли.

Пофиксите в HiJack
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe,c:\windows\system32\actcontro ller.exe,c:\windows\system32\85a94bd1.exe,\\?\globalroot\systemroot\system32\9pn4th7.exe,\\?\globalr oot\systemroot\system32\a2l8tft.exe,
O2 - BHO: (no name) - {4B65A05F-5C7B-4F53-9CC1-7100E06149BC} - (no file)
O2 - BHO: Flash Module - {B9249083-6055-476c-A69D-13E110BFEA91} - tconn1.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\actcontroller.exe','');
QuarantineFile('c:\windows\system32\ntos.exe','');
QuarantineFile('c:\windows\system32\85a94bd1.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('msupdate.sys','');
QuarantineFile('ICF.sys','');
DeleteFile('msupdate.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('c:\windows\system32\85a94bd1.exe');
DeleteFile('c:\windows\system32\ntos.exe');
DeleteFile('c:\windows\system32\actcontroller.exe');
DeleteService('runtime2');
DeleteService('ICF');
DeleteService('protect');
DeleteService('msupdate');
DeleteFile('ICF.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Спасибо, проблема решена. Писать ответ лаборатории Касперского, равно как и прикреплять новые логи, думаю, не имеет смысла.

Ixtance, Имеет, имеет. :yes: Нужно удостовериться, что нигде ничего не забыто. Это как проверка, что хирург в животе скальпель случайно не оставил. :teeth:

Хорошо.

Пофиксите в HiJack
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,\\?\globalroot\systemroot\system32\7WaV7FU.exe,


Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\7WaV7FU.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\7WaV7FU.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Выполните скрипт в AVZ
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'wuauserv.log');
end.
Лог wuauserv.log прикрепите к сообщению

Сделайте новые логи

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.

Сделал.

Лог ComboFix где? В этих логах ничего подозрительного

Извиняюсь, забыл. :)

c:\windows\system32\srsvc.dll проверьте на virustotal (http://www.virustotal.com/ru)
Ссылку на результат проверки сообщите

Всё чисто: https://www.virustotal.com/ru/analisis/0ce2bb11771bc49213f1ef6b1c42d1c542e9bbe486898babcf37beb194556078-1269216003

Результат проверки двухмесячной давности. Нужно выбрать повторную проверку

Не понял. Я проверил там свой файл, полученную ссылку запостил. Что ещё от меня требуется?

получен 2010.03.22 00:00:03Где-то на странице проверки должна быть кнопка Повторить проверку или что-то подобное

https://www.virustotal.com/ru/analisis/0ce2bb11771bc49213f1ef6b1c42d1c542e9bbe486898babcf37beb194556078-1274013376

Файл чистый

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), запустите, нажмите Clean up

Всё сделал.

Я так понимаю, нужно снова выложить логи?

Ixtance, Да, контрольные логи.

Есть.