Закрыт доступ ко всем антивирусным базам

[Moorre]

webfile.ru/4056511

отчет логов.

Вирус запретил доступ ко всем антивирусным сайтам и портам.
Существует (сейчас нет, возможно удалил services.exe и cmd.exe)
Доступ к virusinfo.info запрещен.
На съемных дисках были autorun.inf , удалил на кпк.
Не доступно обновление антивирусных баз.
Не доступно в explorer.exe установить флажок просмотр скрытых файлов и папок,
Невозможно включить брандмауэр
mslsrv32.exe просит кудато подключиться (создан 30 окт), файерволом отклонен

[01pump]

Moorre,
скачайте утилитку http://webfile.ru/3953491 Распакуйте.
Запустить программу .После автоматической экспресс-проверки нажать "Scan". После окончания проверки сохранить его лог (нажать на кнопку Save) и через файлообменник выложите сюда.

[Moorre]

Я выложил все сразу в верхнем сообщении, логи от AVZ и GMER

[01pump]

Цитата:

Сообщение от Moorre

Я выложил все сразу в верхнем сообщении, логи от AVZ и GMER

Пардон уже вижу

[01pump]

Moorre,
Скачать http://exfile.ru/64410 и сохранить в одной папке вместе с утилиткой 1c23.exe Затем запустить этот скачанный файл moorre.bat Компьютер перезагрузится!!!
После перезагрузки удалить распакованную avz и затем из архива снова извлеките. Выполните в avz по инструкции (т.е. не меняя самостоятельно никаких настроек в утилите) стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

[Moorre]

Цитата:

Сообщение от 01pump

Moorre,
virusinfo_syscheck.zip

http://webfile.ru/4056743
Порты открылись, но не запускается ESET

[01pump]

Цитата:

Сообщение от Moorre

http://webfile.ru/4056743
Порты открылись, но не запускается ESET

Выполнить это

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\mslsrv32.exe');
 TerminateProcessByName('c:\ades.exe');
 DeleteFile('c:\ades.exe');
 DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\srcmon.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','System Resource Monitor');
 DeleteFile('C:\Program Files\Avira\AntiVir Desktop\avfwres.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Avira Firewall','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\mslsrv32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
ExecuteSysClean;
SetAVZPMStatus(True);
RebootWindows(true);
end.

И повторить стандартный скрипт №2 (virusinfo_syscheck.zip) и еще выполнить лог в hijackthis

[Moorre]

webfile.ru/4056812

Eset firewall не запускается после перезагрузки

[01pump]

Moorre,
Это c:\Rescue.bat ваш файл?

[Moorre]

webfile.ru/4056857

хайджек лог


посмотрел свойства папки, все еще не получается поставить флажок "показывать крытые файлы и папки"

мой, я его создавал для подмены services.exe. менял имена загрузки в HKLM, которые не успел возвратить в исходный режим

---------- Добавлено в 13:33 ---------- Предыдущее сообщение было написано в 13:30 ----------

Брал отсюда


Рекомендации по удалению

Для ручного удаления программы следует выполнить следующие действия:

1. Создать файл c:\rescue.bat, содержащий такие строки:
@echo off
:try
del C:\WINDOWS\SERVICES.EXE
if exist C:\WINDOWS\SERVICES.EXE goto try
2. Изменить значение следующего ключа реестра:
[HKLM\System\CurrentControlSet\Services\Eventlog]
"ImagePath"="%SystemRoot%\system32\services.ex e"
На:
"ImagePath"="C:\rescue.bat"
Таким образом, вместо системной службы Event Log запустится созданный файл rescue.bat
3. Перезагрузить компьютер. После перезагрузки системы троянец будет удален.
4. Восстановить прежнее значение ImagePath:
[HKLM\System\CurrentControlSet\Services\Eventlog]
"ImagePath"="%SystemRoot%\system32\services.ex e"
5. Удалить следующие ссылки в реестре:

[HKLM\Software\Microsoft\Serenta]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SERVICES.EXE"="%Windir%\SERVICES.EXE"
6. Изменить значения следующих параметров:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\SERVICES.EXE"
На:
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe,,%Win dir%\SERVICES.EXE"
На:
"Userinit"="C:\WINDOWS\system32\userinit.exe"
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами

[01pump]

Moorre,
Запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующие строчки:

Цитата:

O23 - Service: Журнал событий (Eventlog) - Unknown owner - c:\Rescue.bat (file missing)
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

и нажмите FIX checked
Перезагрузиться и выполнить поновой стандартный скрипт №2 и лог hijackthis

[Moorre]

выполнил, в архиве лог хайджек, AVZ и скрин сразу после загрузки. ошибка файерволла и обнаружено новое оборудование (не знаю какое, ничего не подключал), за исключением подключенного монитора к ноутбуку.

webfile.ru/4056944

[01pump]

Цитата:

Сообщение от Moorre

выполнил, в архиве лог хайджек, AVZ и скрин сразу после загрузки. ошибка файерволла и обнаружено новое оборудование (не знаю какое, ничего не подключал), за исключением подключенного монитора к ноутбуку.

webfile.ru/4056944

Через диспетчер устройств удалите это новое устройство. Это просто драйвер avz устанавливали.
Попробуйте все же переустановить (восстановить) Eset Smart Security через Установка и удаление программ.

[Moorre]

Спасибо Вам большое! Переустановил Eset, работает, обновил базы данных без имени и пароля, потом обновлю по имени и паролю.
Скрытые файлы и папки так и не показывает, не знаю почему, видимо в реестре надо копаться.

[01pump]

Moorre,
Ой забыл про проводник
Выполните это

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true); 
ExecuteRepair(6); 
RebootWindows(true);
end.

И еще установите эти заплатки http://webfile.ru/3955291