Не могу удалить avast!Free

[zyablik 12]

Компу лет 7, видимо. На производстве пашет, повидал много, навешано тоже много, включая бухгалтерские и отчетные государственные с криптозащитами и прочей хренотой. Ключ у Касперского истек (не знаю, вряд ли когда-либо проверяли на вирус — но базы обновлялись). Ну и поскольку с 2014 году в госучреждениях и мышку не купишь без нервотрепки (наслышаны, наверно) — соответственно, пришла мысль установить какой-либо бесплатный антивирус. Был avast!Free 9 — жахнул. Но не тут-то было. Launcher чего-то там глюканул в конце установки — возможно, схлестнулся с какой-то программой, коих тут мудреных с претензиями и подозрениями — дофига. Аваст жалуется, что защита не включена. Но и включить эту самую защиту так же не удается. Что ж, удалим, подумалось. На нет и суда нет. Но! В конце удаления (при ликвидации, судя по висящему сообщению: avast! Firewall'а) окно висело один раз 30 минут, нажал на перезагрузку. Перезагрузил, аваст вновь появляется, типа грузится (точнее, якобы ему надо завершить установку или что-то подобное), повторяет свои жалобы. Повторил удаление еще раз — набрался терпения: висел 2 часа; тут я сломался — выключил. Даже через безопасный режим (логи сейчас делал именно в этом режиме) — та же фигня. Короче, потратил 5 часов. Но в безопасном режиме хоть как-то можно работать. А в обычном — полный атас. При удалении в памяти постоянно сидит некий процесс, который неуклонно жрет 80-92 % памяти, при этом процессор ничем не занят. Процесс скромно себя называет services.exe или service.exe, не помню. Понятное дело: вырвать из памяти он себя не дает. Ситуация патовая — и удалить надо, а не могу удалить, и работать тоже фактически невозможно. В последний раз я такое состояние видел лет 7 назад, когда на одном ноуте схлестнулись Norton и Kasper. Война была насмерть. Но тогда хоть Nоrtоn удалось убрать.
virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt
Не хочется переустанавливать ОС, слишком много людей ходят на этот комп. Переустанавливать эти сертификаты, каналы и защиты — позеленеешь. Компьютер, правда, стоит на очереди на замену. Но когда это случится?

Изменено 22 января, 2014 пользователем zyablik

[SLASH_id 989]

@zyablik, Скачать: http://files.avast.com/iavs9x/avastclear.exe
Загрузится в безопасном режиме.
Запустить.
Следовать подсказкам.


После этого сделать отчет GSI ссылку на автоанализ давайте сюда.

 

А уж после всего этого - новые логи в обычном режиме.

Изменено 22 января, 2014 пользователем SLASH_id

[zyablik 12]

Спасибо. Завтра утром сообщу!

[mike 1 1 093]

Здравствуйте!

 

Закройте все программы

 

Отключите

- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url','Trojan.WinLNK.StartPage.a');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Xpom\Application\run_chrome.url','Trojan.WinLNK.StartPage.a');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Xpom\Application\chrome.url','Trojan.WinLNK.StartPage.a');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Xpom\Application\chrome.url','32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Xpom\Application\run_chrome.url','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^Zaxar Games Browser.lnk');     
 DeleteFileMask('C:\Program Files\smwdgt', '*', true, ' ');
 DeleteDirectory('C:\Program Files\smwdgt');   
 BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);    
BC_Activate;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пересоздайте ярлыки для браузеров.

 

Удалите вредоносное расширение в браузере. 

 

 

SmilesExtensions version 2.1

 

 

Сделайте новые логи. 

Изменено 22 января, 2014 пользователем mike 1

[zyablik 12]

@zyablik, Скачать: http://files.avast.com/iavs9x/avastclear.exe  Загрузится в безопасном режиме. Запустить. Следовать подсказкам. После этого сделать отчет GSI ссылку на автоанализ давайте сюда. А уж после всего этого - новые логи в обычном режиме.

avast удалился (хотя я и не успел сообразить, что там еще из списка авастов надо было выбирать что-то) — и слава Богу.

Отчет GSI делал дважды (до и после выполнения рекомендаций поста #4 от mike 1) — здесь тот, который после. Хотя ход выполнения GSI был аналогичный. На половине прогресс-бара GSI может висеть 1,5 час и больше. Каждый раз из памяти поочередно выдергивал, что вообще выдергивается:

FlashGuard.exe — <<<..GSI, как стоял на половине выполнения (типа Network с чем-то там), так и стоял (но не висел)...>>> — назову это "п.А".

WrtMon.exe — <<<п.А>>>

vpnui.exe — <<<п.А>>> (позже я понял, что это относится к законно тут сидящему Cisco AnyConnect Secure Mobile Client'у)

WrtProc.exe — <<<п.А>>>

rundll32.exe — <<<п.А>>>

vpnagent.exe — <<<п.А>>> (... это тоже относится к Cisco AnyConnect Secure Mobile Client'у)

wmiprvse.exe — а вот тут уже не так: оно вытаскивается, хотя потом само и возникает вновь. Но с 2-3-го раза этого вытаскивания wmiprvse вдруг оживает GSI ! и довольно быстро заканчивает отчет. Интернет я не смог пока наладить. Так что отчет оффлайновый только. Почему не смог? Во-первых папка "Мой компьютер" фактически не работает (может час заниматься поиском элементов — дольше не пробовал), ибо приходится в Блокноте набирать путь типа D:\Service и вставлять его в адресную строку. Тогда кое-как можно по папкам ходить (включая запуск AVZ, GSI и т.д.). Папка "Мои документы" открывается, а Панель управления — висит как "Мой компьютер", вернее, не висит, а застревает на поиске. Соответственно, я не вижу значка "Сетевые подключения" в трэй-панели, и Панели управления пока тоже нет, — сижу там без Интернета.

Всё время процесс services.exe так же грузит процессор, как и прежде (80-95 %) — раньше мои слова о том, что память забита — были сущей ерундой, мои извинения. Память он занимает немного, меняясь в диапазоне 3,3-5,9 Мб. Вот сейчас делаю логи. Долго, как и в прошлый раз, ибо AVZ грузит процессор не более чем на 13% — т.е., как я понимаю, на столько, сколько остается от пиршества services.exe.

Кстати, скрипты от mike 1 выполнил. Долго ковырялся весь в красных тонах — но самостоятельно ушел на перезагруз. Карантин создал. Отошлю.

GetSystemInfo_SECR_Admin_2014_01_23_08_59_32.zip

-------------------------------

А вот и ответ из Лаборатории пришел:

 

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.  If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab  This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. 

 

chrome.url,

iexplore.url,

run_chrome.url - Trojan.WinLNK.StartPage.a

 

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

 

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

Меж тем бедный AVZ на 3-м стандартном скрипте корпеет уже часа полтора. Пишет, что осталось 5 минут — в переводе на скорость этой машины: скорее полчаса. Подождем, как в песне Игорька "Моя мама варит кофе..."  2001-й год, хех...

Изменено 23 января, 2014 пользователем zyablik

[mike 1 1 093]

Ждем новые логи. 

[zyablik 12]

virusinfo_syscheck.zip virusinfo_syscure.zip 

mike 1 ::::::::::: >>> Удалите вредоносное расширение в браузере. 

 

 

SmilesExtensions version 2.1

 

В Хроме что-то я его не нашел. Был какой-то "Документы Google" — это не он?
А IE вообще не желает запускаться.

Изменено 23 января, 2014 пользователем zyablik

[mike 1 1 093]

Значит его нет уже в браузере. Еще новые логи RSIT сделайте. 

[zyablik 12]

Вчера проделал жуткий эксперимент (пользуясь Process Killer'ом — всё равно дело идёт к тому, что систему сносить придётся): самовольно переименовал C:\Windows\system32\services.exe на services0.exe. Система перестала грузиться в любом режиме. Пришлось вернуть ему имя обратно. А так services.exe (как я выяснил — важнейший системный файл, если по определению) по-прежнему жрет ресурсы: работы нет. "Мой компьютер" открыл содержимое ровно через 5 минут, и то не надолго.
RSIT запустил (предварительно удалив папку С:\rsit) — но он тоже сидит без движения на запуске HiJackThis. Вот жду.
--------
Ёкрны бабай &$#$@#&:::::::: забыл, что RSIT надо делать в безопасном режиме.

info.txt log.txt

А так: в безопасном режиме летает как самолёт по сравнению с тем, что есть в нормальном. Давно забытые осщусщения  и сразу видно, что нет убийственного процесса services.exe  .

Изменено 24 января, 2014 пользователем zyablik

[mike 1 1 093]

Тогда сделайте сначала лог HiJackThis http://safezone.cc/threads/kak-podgotovit-log-hijackthis.2304/, а потом попробуйте сделать логи RSIT в обычном режиме.

[zyablik 12]

Взял пока другой жесткий диск на 80 Гб. Вернул ОС c родного заводского диска DEPO — Windows Vista HP (6,5 года от роду, правда). <<Гады, правда, порвали наклейку. Но на 30 дней пусть пока (Но обновлений до [removed with support] тучи). Что успокоило: руководство, похоже, вняло плачам — и ищет средства на новый комп. >>

И всё-таки загадка осталась: отчего взбеленился services.exe?

Изменено 28 января, 2014 пользователем zyablik