[решено] Не открываются сайты антивирусов, заблокирован реестр и диспетчер файлов...

Anna-Lisovskaya · Отправлено: **17:41, 27-03-2009** | #11

Я не могу найти C:\WINDOWS\system32\drivers\kgojjn.sys, он есть во вкладке services, а в files нет.

Pili · Отправлено: **18:04, 27-03-2009** | #12

Anna-Lisovskaya, во вкладке Sevices найдите можно удалить abp470n5
пр.кн.мыши - delete или, если будет недоступно, выберите disable
можете ещё удлить файл с помощью IceSword. Выберите в меню File, появится аналог проводника, найдите в нем файлы, нажмите по нему правой кнопкой мыши и выберите force delete. На запрос подтверждения ответьте "да", в меню Win32 Services, найдите abp470n5, п.к. мыши - Disable
Только это все не поможет, если в системе есть файловый вирус и не пролечили систему с LiveCD, м.б. поможет, если сразу после удаления файла и драйвера запустите проверку антивирусом (например cureit, лучше с CD)

Anna-Lisovskaya · Отправлено: **20:51, 27-03-2009** | #13

Я сделала проверку с помощью утилиты windows, скаченой с сайта майкросоае (он теперь стал доступен) Выкладываю логи.

thyrex · Конфигурация компьютера

Цитата Pili:

Пробовали загружаться с CD и запускать _start.exe от cureit? Dr.Web LiveCD, KAV RescueDisk пробовали использовать? Почитайте внимательно метод лечения системы от файловых вирусов »

Пока Вы не выполните эти рекомендации - лечиться бесполезно. На месте удаленных зловредов уже появились новые
Кроме того у вас Восстановление системы: включено
Заблокирован редактор реестра, диспетчер задач - это является признаком заражения файловым вирусом

Anna-Lisovskaya · Отправлено: **01:58, 28-03-2009** | #15

Удалось установить cureit? он нашел 254 зараженных файла, вроде все вылечил, а что не вылечил - удалил. Но реестр и деспетчер задач опять не открываются. На сайты антивирусов теперь заходит, но не скачивает, а если скачивает в архиве, то все равно не дает распаковать.
Выкладываю отчет cureit ( если надо)

Anna-Lisovskaya · Отправлено: **01:59, 28-03-2009** | #16

Кстати! Могу удалить папки карантина?

Pili · Отправлено: **14:58, 28-03-2009** | #17

Anna-Lisovskaya, по логам у вас остался и C:\WINDOWS\system32\drivers\kgojjn.sys и драйвер abp480n5, а это значит файловый вирус у вас всё ещё в системе, вам нужно загрузится с CD и проверится с помощью cureit, предварительно распаковав его, - см. пост 10 и метод лечения системы от файловых вирусов, если это выполните и cureit/AVPTool ничего при сканировании в безопасном режиме не найдут, можете затем делать логи.

Anna-Lisovskaya · Отправлено: **16:28, 28-03-2009** | #18

Ну вобще все стало работать, кажется. Боролась, как могла всю ночь, всем подряд! после усрановки и запуска ряда утилит стал открыватся сайт с антивирусом NOD. Он сначала не устанавливался, а потом начал выдавать ошибку, что у меня Avast стоит и параметр игнора не срабатывает. Он был год назад, но после этого уже переустанавливали виндоус. Его остатков я так и не нашла. И старый NOD, помоему где-то еще торчит. И Vba32 не могу удалить. Короче сейчас NOD работает, вроде все удалил... Зацените, пожалуйста...

Pili · Отправлено: **17:05, 28-03-2009** | #19

Anna-Lisovskaya, Вы проверли систему, загрузившись с CD?
Найдите с помощью gmer или IceSword и проверьте на virustotal.com
C:\WINDOWS\system32\DRIVERS\76115407.sys
Проверьте также C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
ссылку нарез-т проверки выложите.
Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('abp470n5', 4);
 QuarantineFile('C:\WINDOWS\system32\UTSCSI.EXE','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\76115407.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\kgojjn.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\kgojjn.sys');
 DeleteService('abp470n5');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('abp470n5');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\kgojjn.sys');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему

По очистке от VBA - обратитесь на форум разработчка. Частично VBA можно удалить скриптом AVZ

Код:

begin
 DeleteService('Vba32PP3');
 DeleteService('Vba32ifs');
 DeleteService('Vba32ECM');
 DeleteFile('C:\Program Files\Vba32\Vba32ldr.exe');
ExecuteSysClean;
end.

Сделайте новые логи обычной версией AVZ (не game.pif)

Anna-Lisovskaya · Отправлено: **17:36, 28-03-2009** | #20

http://www.virustotal.com/ru/analisi...ba00076f087aa4
http://www.virustotal.com/ru/analisi...1f83819cd1e1c6

Проверку выполняла не с CD, скачивала.
Такой вопрос: для выполнения скриптов в AVZ нужно обязательно каждый раз запускать (проверку дисков) или можно просто открыть программу и выполнить скрипт?