PDA

Показать полную графическую версию : [решено] Не могу скачать ни одного антивируса, HijackThis устанавливается, но не запускается

homychok
29-06-2010, 11:09
Помогите плиз. Windows XP
Поймал какую-то гадость, AVZ логи прилагаются
thyrex
29-06-2010, 11:27
Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\cmstp.exe','');
QuarantineFile('C:\Documents and Settings\Ludmila\Local Settings\Temp\TMP9.tmp','');
QuarantineFile('C:\thumbs.db','');
QuarantineFile('C:\WINDOWS\rak.kul','');
DeleteFile('C:\WINDOWS\rak.kul');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('C:\thumbs.db');
DeleteFile('C:\Documents and Settings\Ludmila\Local Settings\Temp\TMP9.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

У Вас вирус, ворующий пароли. Как можно быстрее смените все пароли. Этот же вирус блокирует доступ к антивирусным сайтам.

Пробуйте скачать обычный AVZ, обновите его базы и сделайте новые логи. Пробуйте сделать лог HiJack (если не будет получаться, переименуйте HiJack)
homychok
29-06-2010, 14:43
Пробуйте скачать обычный AVZ, обновите его базы и сделайте новые логи. »
Обновление не проходит, ругается на старую версию (4.30) хотя скачиваю с офсайта вроде, помеченную как 4.32...

Письмо отправил
Drongo
29-06-2010, 14:58
homychok, Скачайте отсюда (http://tools.oszone.net/Drongo/avz4.rar) - базы обновлены сегодня.
homychok
30-06-2010, 15:46
homychok, Скачайте отсюда - базы обновлены сегодня.
не запускается avz
Drongo
30-06-2010, 16:05
не запускается avz »Переименуйте его в 123.com или воспользуйтесь полиморфной версией - (от 04.06.10) (http://gjf.hotbox.ru/mink.pif)
homychok
30-06-2010, 18:23
Переименовал, заработало, прикладываю логи
Скачал и установил nod32, после проверки на вирусы просит перезгрузки и зависает в самом начале загрузки.
после удаления антивируса через safe mode комп грузится нормально.
Drongo
30-06-2010, 18:39
homychok, Выполните скрипт

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.Приложите к следующему сообщению файл fystemRoot.log

Потом этот скрипт

begin
ExecuteRepair(9);
ExecuteRepair(20);
RebootWindows(true);
end.Попробуйте после выполнения скриптов скачать и запустить антивирус.

Повторите логи + HiJackThis
homychok
30-06-2010, 20:26
Попробуйте после выполнения скриптов скачать и запустить антивирус.
с нод32 ситуация повторяется, логи прикладываю

при выполнении скриптов в аське набирается вот такой текст
еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуы
ееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыее
уыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуы
ееуыееуые
help?
30-06-2010, 20:29
при выполнении скриптов в аське набирается вот такой »
Я еще не увидел, но скорее всего это проверка авз на клавиатурные перехватчики.
homychok
30-06-2010, 20:33
вот логи
Drongo
30-06-2010, 21:12
Я еще не увидел, но скорее всего это проверка авз на клавиатурные перехватчики. »так оно и есть.

Доступ к сайтам появился?
thyrex
30-06-2010, 22:02
Пофиксите в HiJack
O20 - AppInit_DLLs: winmm.dll
homychok
01-07-2010, 00:44
Доступ к сайтам появился? да, появился
Пофиксите в HiJack
пофиксил
thyrex
01-07-2010, 09:40
Выписываем из лазарета

Установите SP3 (http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru) (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (http://www.microsoft.com/rus/windows/internet-explorer/default.aspx) (даже если им не пользуетесь)
Обновите JavaRE (http://www.java.com/ru/download/manual.jsp)



© OSzone.net 2001-2012