Нужна помощь. Куча проблем со старой виндой

S.R · Отправлено: **07:45, 11-01-2012** | #2

Здраствуйте. Сейчас посмотрю логи.

S.R · Отправлено: **08:02, 11-01-2012** | #3

Эти DNS Вам знакомы?

Код:

NameServer = 212.192.168.18 84.237.96.2			
NameServer = 193.124.209.65			
NameServer = 78.40.80.165,217.117.80.1

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\Andrew\LOCALS~1\Temp\99918.exe','');
 QuarantineFile('test.exe','');
 QuarantineFile('C:\WINDOWS\system32\xytvzspp.dll','');
 DeleteFile('C:\DOCUME~1\Andrew\LOCALS~1\Temp\99918.exe');
 DeleteFile('C:\WINDOWS\system32\xytvzspp.dll');
 DeleteFile('test.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','test');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Andrew\LOCALS~1\Temp\99918.exe"="C:\DOCUME~1\Andrew\LOCALS~1\Temp\99918.exe:*:Enabled:test');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\zxwar');
 DeleteService('zxwar');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

Сделайте новые логи AVZ & RSIT

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

lopopok · mbam-log-2012-01-11 (21-25-39).zip

Так вот вроде все сделал логи. Как-то мало МБАМ выдал...

193.124.209.65 - этот днс знаком. остальные не знаю что это..

S.R · Отправлено: **19:04, 11-01-2012** | #5

Вы используете Avast, Kaspersky и COMODO одновременно? Да ещё от доктора веба и KVRT следы видны.. Возможно проблема именно в этом. Оставьте только один.

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('test.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\Documents and Settings\Andrew\Application Data\sbqh.exe','');
 QuarantineFile('C:\Documents and Settings\Andrew\Application Data\rcvflc.exe','');
 DeleteFile('test.exe');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\29152142.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\00036821.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\29152141.sys');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\Documents and Settings\Andrew\Application Data\sbqh.exe');
 DeleteFile('C:\Documents and Settings\Andrew\Application Data\rcvflc.exe');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('zauzkq');
 BC_DeleteSvc('29152141');
 BC_DeleteSvc('00036821');
 BC_DeleteSvc('29152142');
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

Удалите в MBAM только данные элементы

Код:

Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.Palevo) -> Параметры: C:\Documents and Settings\Andrew\Application Data\rcvflc.exe,C:\Documents and Settings\Andrew\Application Data\sbqh.exe,explorer.exe -> Действие не было предпринято.

Сделайте новые логи AVZ & RSIT

lopopok · Отправлено: **20:23, 11-01-2012** | #6

Я не могу оставить только один. Именно это я и хотел сделать когда столкнулся с проблемой:

Цитата lopopok:

1. Не работает Windows Installer (пишет какую-то ерунду про то что у меня нет прав админа, хотя конечно же я сижу под админом) »

И отключить антивирус/файервол я не могу полностью. Постоянно в процессах сидит avp например, который "запрещено" удалять...

S.R · Отправлено: **21:05, 11-01-2012** | #7

lopopok, попробуйте установить эту версию (WindowsXP-KB942288-v3-x86.exe)

iskander-k · Конфигурация компьютера

В системе должен быть один активный антивирус и один фаервол И ВСЁ ! Других активных антивирусов не должно быть - возникнут проблемы. Дополнительно можно использовать антивирусы только те которые не активны пока их не запустят(сканеры).