Проблемы после смены Антивира

[snifer67]

Выполните скрипт thyrex'a

[глеб]

Сообщение от модератора thyrex

Совет уже дан. Ждем выполнения

[НИКОМС]

Совет уже дан. Ждем выполнения

 

Я все (скрипт и лог) выполнил еще вчера и выложил (изменив свое сообщение, а не новым) затребованный thyrex AVZ-лог.

Более того, После этого еще сделал 4 лога (по правилам) и выложил вам.

Посмотрите, пожалуйста, мое сообщение (№ 15), там и мои дополнения и логи.

 

Этой Ночью я еще:

1. Следы антивиров чистил ремоверами. (DrWeb отработал и перегрузил комп, а KAV10 выдал, что KAV нет на винте).

2. ATF-Cleaner -ом Удалил ВСЕ (стояли все V) временное с винта.

3. Запуском plstfix.exe от DrWeb пытался:

- устранить вылет в конце загрузки каскада окон командной строки (15 шт., - по числу запускаемых процессов);

- "заставить" ЕХЕ-файлы и regedit запускаться "как положено", из окна "выполнить" и с рабочего стола.

Увы, НЕ удалось.

 

Сегодня Запускал Gmer 2 раза. Он до конца не отрабатывает, а виснет на проверке строки реестра (указана в логе). Его лог-файл (с моим комментарием) прилагаю.

 

В безопасном режиме комп теперь грузится. Диспетчер задач заработал.

 

Но По прежнему комп:

- ругается в средине загрузки ОС (перед вводом данных пользователя) по поводу SQLServer (типа SQLServer не может найти по умолчанию ... и что-то об ЕХЕ-файле (проверил, файл лежит на месте));

- Выбрасывает каскад окон командной строки по окончании загрузки ОС;

- ЕХЕ-файлы и regedit запускаются только из командной строки (и при загрузке в безопасн режиме), а не "как положено" (из окна "выполнить" или с рабочего стола).

М. б. можно как нибудь запуск вернуть в Пуск - выполнить и с рабочего стола?

 

Через Св-ва папки в Мой комп Увидел, что сейчас файлы типа ЕХЕ "привязаны" к Application. Как я понимаю д.б. другая привязка? На что (куда) надо привязать?

Пожалуйста, подскажите!

Gmer_log_ot_03_11_09_povis.log

Изменено 3 ноября, 2009 пользователем НИКОМС

[thyrex]

Все указанные Вами проблемы могут являться последствиями заражения файловым вирусом (скорее всего Sality). Скриптами были добиты его остатки

 

Выполните скрипт в AVZ

begin
ExecuteRepair(1);
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Что с запуском exe-файлов?

[НИКОМС]

Скрипт выполнил.

К моему сожалению ВСЕ осталось по прежнему (и о сервере сообщение и 15 окон ком строки и с ЕХЕ- файлами).

 

Я даже в свойства экрана (как и другие св-ва) войти не могу, вылетает окно командной строки (Заголовок у окна C:\WINDOWS\System32\cmd.exe)

Изменено 3 ноября, 2009 пользователем НИКОМС

[akoK]

НИКОМС, уберите все АВ файлы из корня диска C: (то удалю)

 

 

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\\Documents and Settings\\All Users\\Документы\\Девушка.exe
C:\wirQcs6Fw.exe
C:\DwShark.exe
c:\windows\system32\drivers\nomjrn.sys
Driver::
abp470n5
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\All Users\\Документы\\Девушка.exe"=-
FileLook::

DirLook::

KillAll::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[НИКОМС]

Все сделал и Перетащил как велено,- прога не запустилась, а Комп выбросил окно команд строки (ну которое cmd.exe)

Ввел в нем ComboFix,- отказ в запуске (не тот файл).

Щелкнул по значку ComboFix на рабочем столе,- комп выбросил окно командной строки.

Ввел в нем ComboFix,- он запустился и отработал.

 

У FireFox и FineReader поменялись иконки на рабочем столе. А у прог в "Пуск - Программы" изменились иконки у всех прог перечисленных в первой колонке вкладки. Поменялись на какие-то простенькие.

 

Чтобы ответ сразу доходил до Вас, надо отвечать прямо в Вашем сообщении? Или все равно где?

 

Лог прилагаю.

Комп перезагрузил.

ComboFix1.rar

Изменено 3 ноября, 2009 пользователем НИКОМС

[akoK]

Лог CF не чего не показывает.

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up

[НИКОМС]

Лог CF не чего не показывает.

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up

Попробовал,- Таким приемом он НЕ деинсталлируется!

 

Я уже писал, что ЕХЕ-файлы и regedit запускаются только из командной строки (и при загрузке в безопасном режиме), а не "как положено" (из окна "выполнить" или с рабочего стола).

А Можно исправить как-то все это безобразие, чтобы был нормальный запуск?

 

Я только что прогнал Gmer по компу.

Лог его полн. аналогичен выложенному мною в сообщении№ 18, - Застрял на проверке той-же самой строки реестра!

Затем я

Прогнал комп МВАМбой, без удаления (лог приложил),

ну а затем,

Без Деинсталляции ComboFix запустил ОТС (забыл попробовать удалить из команд строки). ОТС что-то предлагал, я с ним соглашался! Отработал он (что-то поудалял судя по всему) и перезагрузился. И ... на экране только одно окно командной строки! Исчезли все иконки с экрана. Закрыл окно,- выскочил, как и ранее, каскад окон команд строки и ... все иконки! (ComboFix на рабоче столе,- не удалился) Критично?

 

Что дальше?

mbam_log_2009_11_04__00_58_13_.txt

Изменено 3 ноября, 2009 пользователем НИКОМС

[НИКОМС]

Сделал новые логи, после некоторых действий.

Новые (и разные) логи прилагаю.

Буду весьма признателен за действенные советы и сообщение о том, что-же логи "рассказали".

Gmer_log_ot_04_11_09_zavis.log

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Загрузите файл из вложения, переименуйте в exefile.reg и внесите информацию в реестр

exefile.txt

[НИКОМС]

Запускал Gmer 2 раза. Он до конца не отрабатывает, а виснет на проверке строки реестра.

 

В безопасном режиме комп теперь грузится. Диспетчер задач заработал.

Но комп по прежнему:

- ругается в средине загрузки ОС (перед вводом данных пользователя) по поводу SQLServer (типа SQLServer не может найти по умолчанию ... и что-то об ЕХЕ-файле (проверил, он лежит на месте));

- Выбрасывает каскад окон командной строки по окончании загрузки ОС;

- ЕХЕ-файлы и regedit запускаются только из командной строки (и при загрузке в безопасн режиме), а не "как положено" (из окна "выполнить" или с рабочего стола).

М. б. можно как нибудь запуск вернуть в Пуск\выполнить и\или с рабочего стола?

 

А проблемы с ЕХЕ не ОС сотворила, а я и вот таким путем:

Открыл: Мой компьютер > меню Сервис > Свойства папки > вкладка Типы файлов > кнопка Создать. В поле расширение вписал exe и нажал ОК. Затем: выделил созданное ЕХЕ-расширение, нажал кнопку Изменить > Выбор программы из списка > Обзор и указал на \Windows\system32\cmd.exe. И теперь энто дело (окно cmd.exe) и вылетает при каждой попытке запустить ЕХЕ-файл или "залезть" в Свойства!

 

Проверил, а куда-же сейчас привязаны эти *.ЕХЕ? И вижу, что сейчас ЕХЕ-файлы привязаны к какому-то Application (а не к cmd.exe).

Отвязал-бы, да не знаю к чему привязать надо, чтобы ЕХЕ-шники запускались бы откель надо,- из Пуск\выполнить и щелчком по ехе-файлу или/и ярлыку на экране монитора!

 

Пожалуйста, подскажите!

Изменено 5 ноября, 2009 пользователем НИКОМС