После лечения программой CureIt, не устанавливается никакой антивирус

@Curt · Регистрация: 27.12.2016

Author24 — интернет-сервис помощи студентам

После лечения WinXP программой CureIt, не устанавливается никакой антивирус.
В "c:\Program Files" и в "c:\Documents and Settings\user" появились скрытые файлы с защитой от удаления имеющие названия антивирусов. Удалить их не получается даже после загрузки с LiveCD.
Хотелось бы вылечить компьютер без форматирования и переустановки.

@Sandor · 15.03.2018, 13:04

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Curt. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код
```
begin
 ExecuteRepair(9);
 ExecuteRepair(13);
RebootWindows(false);
end.
```
Компьютер перезагрузится.
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Curt · 15.03.2018, 13:25 **[ТС]**

Сообщение от Sandor

новый CollectionLog.

...

@Sandor · 15.03.2018, 13:31

Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Временно отключите драйверы эмуляторов дисков.
Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробную инструкцию читайте в руководстве.

@Sandor · 15.03.2018, 13:33

Если не получится зайти по указанной ссылке, возьмите вложенный файл.

@Curt · 15.03.2018, 16:30 **[ТС]**

Долго проверяло.

@Sandor · 15.03.2018, 16:34

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится zw7d387m.exe случайное имя утилиты (gmer)

Код

zw7d387m.exe -del file "C:\WINDOWS\Temp:1"
zw7d387m.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

@Curt · 16.03.2018, 12:02 **[ТС]**

Сообщение от Sandor

Сделайте новый лог gmer.

...

@Sandor · 16.03.2018, 12:39

Подготовьте лог uVS.

@Curt · 16.03.2018, 13:41 **[ТС]**

Сообщение от Sandor

лог uVS.

...

@Sandor · 16.03.2018, 14:04

Выполните скрипт в UVS.

Код

;uVS v4.0.10 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv5.1
v400c
BREG
;---------command-block---------
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\ASPACKAGE\ASPACKAGE.EXE
bl 6281B5526ED6AA8B0425F267A27B2381 446072
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\BAIDU\BDWEBADAPTER\3.0.359.0\NPBDEXNP.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\BAIDU\BDWEBADAPTER\3.0.359.0\NPBDEXNP.DLL
delref %SystemRoot%\TEMP:1
delref %SystemDrive%\PROGRAM FILES\IOBIT\LIVEUPDATE\LIVEUPDATE.EXE
delref [url]HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B96B191E5-E55F-4922-9521-B986BE04D97C%7D&GP=811006[/url]
apply

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\AMD\AMD.EXE
bl 7568ABB7D1EDFAFEAF4CD87213E27E27 120320
addsgn 1A30129A5583338CF42B627DA804DEC9E946303A45369434A1C7327D53D6714C57334956BD949CCDEBF4CA68871549FA7DAA077755DAB02CA0D3802FC70622FE 8 Trojan.Win32.Generic [Kaspersky] 7

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\CLEAN\KYUBEY.EXE
bl 38F2402AFE7995582B581F0EAD1EB4DC 113664
addsgn 1A77209A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF960847736EC7075174 8 Downloader.Win32.Eroyee.n [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LLISECONC8.EXE
bl 54770B9298D3DF77AE726F29EA288428 95744
addsgn 1ADB619A5583C58CF42BC8BE8B084356AE4B7F16867FDF0DFA48073FB2A9B0A42463F4DA9A719D492B80E29039172FF5029EF8145AA5F10C4B78DB6EF7602D0C 8 DangerObject.Multi.Generic [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LLISECONC8A.EXE
bl CBC32072A07FCA0DDC30ED2CC5D8E89F 113152
addsgn 1AB36E9A55835A8CF42BFB3A8849FE2D268AFC5539D75D780CCE699112D6F8598B3A8157B748396469800DAAE63B0BFAF4E2745F17DAD6A038BF896DC760AE7E 8 Tr-Proxy.Win32.Lethic.agon [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196818750\BACKWINDOW232.EXE
bl 01D742FA740B20C352AA4C24935403D2 96768
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1968138750\BACKWINDOW332.EXE
bl FF53273DA2E4EE299182D7A95189DAF8 102912
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1968138750\BACKWINDOW432.EXE
bl 39C1BF4C05476C3E3D9DDD845F8CECA7 136192
addsgn 1A953D9A5583348CF42B16A1458A12C684AA47B489AC756CDB4605C9576E714E231728510593E04EA04627BFFD544990798F009D49DAB07574D4A4848506A7B3 8 Tr-Proxy.Win32.Lethic.ages [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1968138750\BACKWINDOW532.EXE
bl CA44B6D4C36068A20A6FA56CB4CD38F1 99328
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196818750\BACKWINDOW132.EXE
bl 6B34A7F2C507E0B831A24F3176F8D9E3 97792
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1968138750\BACKWINDOW632.EXE
bl 80E82D40A133136CDE43A595137C3D0A 102400
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1968152800\SYSTIMWINDOW32.EXE
bl 2F785ACCE2CB8B1B766B2DAAC37BFC68 102400
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196818750\BACKWINDOW32.EXE
bl 515A83CBFC22BDDF31C5DAE72DB82B30 102400
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1965988451\SCVHCHOST932.EXE
bl 71C09711F2BFB5FFBB4869FC6751420B 165888
addsgn 1A87379A5583348CF42B254E3143FE8E6082AA7D783C5974854605C9333E2E7823174A1136DED525A28E0FD72E9F07FEF6D1D37FAD5EF22C59652F22D3826073 8 Trojan.Win32.Generic [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1965598451\SCVHCHOST532.EXE
bl 5A6A487C43CC2B59275F078CDF44107A 167424
addsgn 1A87379A5583348CF42B254E3143FE8E6082AA7D783C5974854605C9333E2E7823174A1136DED525A28E0FD72E9F07FEF6D1D37FED50F22C59652F22138F6073 8 Trojan.Win32.Generic [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1965798451\SCVHCHOST732.EXE
bl 81D6A9665970003AD3781DFC492DE115 106496
addsgn 1A5F559A5583C58CF42B254E3143FE84C9A2FFF68959AF86C4C34CB1FC28304CAA026BA97F5514548F7EC59FCF23E9043CDF614FC924F12C4BFBB1E739472215 8 Trojan.Win32.Garrun.kbh [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\SCVHCHV00AD.EXE
bl EEECC597006FC0664B621E090B448FF4 106496
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\SCVHCHOSTC6600A.EXE
bl E1338EB8BB9BC9EE49B98D5D3DC048A3 195072
addsgn 1AE50B9A5583348CF42B254E3143FE84C9A2FFF689593F2DC6C34CB14C83324CAA02DB027D5514543FD5C79FCF2359AF3EDF614F598FF32C4BFBB11792452215 8 Trojan.Win32.Kasidet.doj [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\SYSTEMWINDOWS32.EXE
bl BAC241FD7007571433E23C425D7422D6 193024
addsgn 1AE50B9A5583348CF42B254E3143FE84C9A2FFF689593F34C6C34CB14C9A324CAA02DB1B7D5514543FCCC79FCF2359B63EDF614F5996F32C4BFBB1178B452215 8 Trojan.Win32.Kasidet.doj [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13633451\SYSAEWAZBYS32.EXE
bl 958E8348796FA7C2873DCB9632A19E1A 131072
addsgn 1A25549A5583348CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEEFC5B79908DD21B 8 Tr-Proxy.Win32.Lethic.agdt [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LLISECONC4.EXE
bl A1C48C5E851024B1B92C077181F33397 129024
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LLISECONC2.EXE
bl 4F89BEA90AFA7F0C8FEA32B64809281C 150016
addsgn 1A8B4D9A5583348CF42B1639448A12C684AA40B489AC756CDB4605C9576E714E231728510593E04EA04627BFFA544990798F00626EDAB07574D4B8838506A7B3 8 Trojan.Win32.Kasidet.lkl [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LISECOSYS.EXE
bl B26F569FC30D154DC267E78ADA5DB596 147456
addsgn 1A8B4D9A5583348CF42B1639748A12C684AA50B489AC756CDB4605C9576E714E231728510593E04EA04627BFEA544990798F00626EDAB07574D4B8B38506A7B3 8 Trojan.Win32.Kasidet.lkl [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LLISECONC1.EXE
bl 45CFF324C114E8831E7F9EFF74C2E18E 133632
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LJA7SHAYNE4.EXE
bl 32CC9100F2F327FE0D3523A6DA75AF2F 116736
addsgn 1AB36E9A55835A8CF42BFB3A8849FE2D268AFC5519C15D780CCE498712D6F859AB2C8157B748197269800DAAC62D0BFAF4E2944917DAD6A038DF9F6DC760AE7E 8 Tr-Proxy.Win32.Lethic.agon [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LISECEWWEVW.EXE
bl 4B63D0D3F137801A2F023F8D65500B69 147456
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LISECOSYS32.EXE
bl 987C92BFEB02312CBA67DDB546ADE9EC 130560
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LJA7SHAYNE6.EXE
bl CDF5FA1C4DD8371B1791BDF9280A69BF 139264
addsgn 1AC0539A5583348CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEEFC5B79908DD21B 8 Trojan.Win32.Kasidet.lpl [Kaspersky] 7

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LJA7SHAYNE7.EXE
bl 35DC7581DF6EB6253722D0068189A1A7 135168
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LJA7SHAYNE8.EXE
bl E796607A809E6976A0F69EAC2E2BB014 138240
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LJA7SHAYNE10.EXE
bl 7B5EAB739FF7D4225DB0A4FFBDDDB772 134144
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LJA7SHAYNE2.EXE
bl F312C9503CF883B91B3EEE036C495112 134656
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LJA7SHAYNE3.EXE
bl 6E3EB29F6085B40F2D9D5DC330C314DC 138240
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\SYSTEMHOTS32.EXE
bl 7B8103C629FC5BDB4A6E46A06D2616FB 131584
chklst
delvir

regt 14
regt 35
deltmp
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Соберите и прикрепите контрольный лог uVS.

@Curt · 16.03.2018, 14:38 **[ТС]**

Архив на почту отправил, выкладываю лог uVS

@Sandor · 16.03.2018, 14:46

Выглядит значительно лучше.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Curt · 19.03.2018, 09:38 **[ТС]**

Сообщение от Sandor

отчеты FRST.txt, Addition.txt, Shortcut.txt

...

@Sandor · 19.03.2018, 10:05

Вложенный архив скачайте и распакуйте рядом с утилитой FRST.exe

Отключите до перезагрузки антивирус.
Запустите FRST от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

@Curt · 19.03.2018, 11:55 **[ТС]**

Сообщение от Sandor

Fixlog.txt

...

@Sandor · 19.03.2018, 12:12

Еще раз соберите и прикрепите логи FRST (сообщение №13)

@Curt · 19.03.2018, 12:21 **[ТС]**

...

@Sandor · 19.03.2018, 12:32

Содержимое файла

C:\atribut.bat

покажите. Будьте внимательны, не запустите его случайно.

@Curt · 19.03.2018, 12:36 **[ТС]**

Это я пытался лечить, ещё до обращения на форум

Код

rem @echo off
mode con codepage select=1251 > nul
echo Please wait...
attrib -s -h -r -a c:\Documents and Settings\All Users\*.* /s /d

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	15.03.2018, 13:04	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Curt. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteRepair(9); ExecuteRepair(13); RebootWindows(false); end. Компьютер перезагрузится. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 1

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	15.03.2018, 13:31	4
	Загрузите GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробную инструкцию читайте в руководстве. 1

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	15.03.2018, 16:34	7
	Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится zw7d387m.exe случайное имя утилиты (gmer) Код zw7d387m.exe -del file "C:\WINDOWS\Temp:1" zw7d387m.exe -reboot И запустите сохранённый пакетный файл cleanup.bat. Внимание: Компьютер перезагрузится! Сделайте новый лог gmer. 1

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	16.03.2018, 12:39	9
	Подготовьте лог uVS. 1

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	16.03.2018, 14:46	13
	Выглядит значительно лучше. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	19.03.2018, 12:12	17
	Еще раз соберите и прикрепите логи FRST (сообщение №13) 1

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	19.03.2018, 12:32	19
	Содержимое файла C:\atribut.bat покажите. Будьте внимательны, не запустите его случайно. 1

@Curt 0 / 0 / 0 Регистрация: 27.12.2016 Сообщений: 26
	19.03.2018, 12:36 [ТС]	20
	Это я пытался лечить, ещё до обращения на форум Код rem @echo off mode con codepage select=1251 > nul echo Please wait... attrib -s -h -r -a c:\Documents and Settings\All Users\. /s /d 0