Вирус не дает установить антивирус в защищенном режиме

@PovAndy · Регистрация: 30.09.2013

Author24 — интернет-сервис помощи студентам

Проблема в следующем:
По скайпу клиент принял файл, после этого появился китайский шрифт и текст стал писаться справа на лево.
После перезагрузки всё восстановилось, но пару раз выскакивало окно с СМС запросом (по словам клиента).
AVZ не удавалось запустить, только в защищенном режиме.
Проведя ряд лечений, сканирование и восстановление с помощью AVZ, сканирование-лечение утилитой cureit.
Было выявлено с десяток вирусов и троянов. Но установить новый анетивирус, Аваст, не получается, даже в защищённом режиме он сам закрывается сразу после запуска!

Система Windows 7 Home Basic x64

Добавлено через 10 минут
Логи выложу чуть позже, когда будет доступ к компьютеру клиента.

Вот логи, которые смог найти на компе клиента.
Только AVZ.
От mbam логов нет ни где...
От cureit, тоже не могу найти...

На диске С есть папка со странным названием "32788R22FWJFW", в ней много копий мелких программ и много файлов с расширением "*.cfx" и есть папки "License", "N_", "EN-US"

Точнее будет написать так:

На диске С есть папка со странным названием "32788R22FWJFW", в ней много мелких файлов *.bat, *.cmd, *.dat и много файлов с расширением "*.cfx" и есть папки "License", "N_", "EN-US". В папке EN-US" файл "iexplore.exe".

@shestale · 21.01.2014, 08:04

Сообщение от PovAndy

Вот логи, которые смог найти на компе клиента.

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@PovAndy · 21.01.2014, 12:03 **[ТС]**

Сообщение от shestale

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

Не могу загрузить AutoLogger, пробовал с разных сайтов!

@Sandor · 21.01.2014, 12:11

Сообщение от PovAndy

пробовал с разных сайтов!

Нужно с этого сайта
Только что проверил, успешно скачался.

@PovAndy · 21.01.2014, 12:57 **[ТС]**

Выкладываю логи

@Sandor · 21.01.2014, 13:22

Пока смотрю логи ответьте - Автологер так и не скачался? Или не получилось запустить?

Добавлено через 15 минут
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\Rar$EX06.624\Brosix\Brosix.exe','');
 QuarantineFile('C:\Program Files (x86)\Mindjet\MindManager 10\sys\MmInternetExplorerActiveSetup.vbs','');
 DeleteFile('C:\Users\Сергей\AppData\Local\Temp\Rar$EX06.624\Brosix\Brosix.exe');
 DeleteFile('C:\Program Files (x86)\Mindjet\MindManager 10\sys\MmInternetExplorerActiveSetup.vbs');
 DelCLSID('{90EF4A5E-85DB-4825-96F5-1AB93C2A8EEB}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Brosix');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки выполните такой скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

@PovAndy · 21.01.2014, 14:21 **[ТС]**

Сообщение от Sandor

Нужно с этого сайта
Только что проверил, успешно скачался.

Так и не качается
"Соединение было сброшено
Во время загрузки страницы соединение с сервером было сброшено."

Добавлено через 47 минут
На зараженном компе всё скачалось!

@PovAndy · 21.01.2014, 14:40 **[ТС]**

Сообщение от Sandor

2. После перезагрузки выполните такой скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скрипт не создал ничего.

Далее логи от AdwCleaner

@PovAndy · 21.01.2014, 14:49 **[ТС]**

Попробовал ставить Avast с WEB-загрузчика, он запустился и начал скачивать. По окончании скачивания появляется сообщение: "Выполнить загрузку не удалось. Хотите повторить загрузку?"

@Sandor · 21.01.2014, 15:26

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Повторите логи по правилам. Для повторной диагностики запустите Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@PovAndy · 21.01.2014, 18:04 **[ТС]**

Вот логи

@PovAndy · 21.01.2014, 18:06 **[ТС]**

Перегрузил комп
УРА!!! Аваст запустился и установился!

На этом всё?

@shestale · 21.01.2014, 18:16

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@PovAndy · 21.01.2014, 18:49 **[ТС]**

Вот запрошенный лог.
Обновления установлю в ближайшее время!

Всё работает. Но при загрузке винды одна программа ругается ошибкой на ".NET".
Я думаю это лечится переустановкой самого "dotNET".

@shestale · 22.01.2014, 07:13

Сообщение от PovAndy

Вот запрошенный лог.

Сообщение от shestale

сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Adobe Flash Player 11 ActiveX v.11.9.900.170 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.9.900.170 Внимание! Скачать обновления
Adobe Reader 9.1 MUI v.9.1.0 Внимание! Скачать обновления

@PovAndy · 24.01.2014, 12:36 **[ТС]**

Сообщение от shestale

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

Аваст заблокировал SecurityCheck by glax24, и не даёт скачать, даже если аваст отключаю!

@shestale · 24.01.2014, 12:58

После отключения АВаста, почистите кэш и куки в браузере, а потом без аваста загрузите, ссылка не заразная.

@PovAndy · 25.01.2014, 13:02 **[ТС]**

Сообщение от shestale

После отключения АВаста, почистите кэш и куки в браузере, а потом без аваста загрузите, ссылка не заразная.

Спасибо, в защищённом режиме загрузил и всё сделал.

@shestale · 25.01.2014, 13:03

Удачи!

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	25.01.2014, 13:03	19
	Удачи! 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	21.01.2014, 08:04	2
	Сообщение от PovAndy Вот логи, которые смог найти на компе клиента. Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@PovAndy 1 / 1 / 0 Регистрация: 30.09.2013 Сообщений: 95
	21.01.2014, 12:03 [ТС]	3
	Сообщение от shestale Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему Не могу загрузить AutoLogger, пробовал с разных сайтов! 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	21.01.2014, 12:11	4
	Сообщение от PovAndy пробовал с разных сайтов! Нужно с этого сайта Только что проверил, успешно скачался. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	21.01.2014, 13:22	6
	Пока смотрю логи ответьте - Автологер так и не скачался? Или не получилось запустить? Добавлено через 15 минут Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. 1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\Rar$EX06.624\Brosix\Brosix.exe',''); QuarantineFile('C:\Program Files (x86)\Mindjet\MindManager 10\sys\MmInternetExplorerActiveSetup.vbs',''); DeleteFile('C:\Users\Сергей\AppData\Local\Temp\Rar$EX06.624\Brosix\Brosix.exe'); DeleteFile('C:\Program Files (x86)\Mindjet\MindManager 10\sys\MmInternetExplorerActiveSetup.vbs'); DelCLSID('{90EF4A5E-85DB-4825-96F5-1AB93C2A8EEB}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Brosix'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. Компьютер перезагрузится. 2. После перезагрузки выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 0

@PovAndy 1 / 1 / 0 Регистрация: 30.09.2013 Сообщений: 95
	21.01.2014, 14:21 [ТС]	7
	Сообщение от Sandor Нужно с этого сайта Только что проверил, успешно скачался. Так и не качается "Соединение было сброшено Во время загрузки страницы соединение с сервером было сброшено." Добавлено через 47 минут На зараженном компе всё скачалось! 0

@PovAndy 1 / 1 / 0 Регистрация: 30.09.2013 Сообщений: 95
	21.01.2014, 14:49 [ТС]	9
	Попробовал ставить Avast с WEB-загрузчика, он запустился и начал скачивать. По окончании скачивания появляется сообщение: "Выполнить загрузку не удалось. Хотите повторить загрузку?" 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	21.01.2014, 15:26	10
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Повторите логи по правилам. Для повторной диагностики запустите Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 0

@PovAndy 1 / 1 / 0 Регистрация: 30.09.2013 Сообщений: 95
	21.01.2014, 18:06 [ТС]	12
	Перегрузил комп УРА!!! Аваст запустился и установился! На этом всё? 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	21.01.2014, 18:16	13
	Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. Рекомендации после удаления вредоносного ПО 1

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	22.01.2014, 07:13	15
	Сообщение от PovAndy Вот запрошенный лог. Сообщение от shestale сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. Adobe Flash Player 11 ActiveX v.11.9.900.170 Внимание! Скачать обновления Adobe Flash Player 11 Plugin v.11.9.900.170 Внимание! Скачать обновления Adobe Reader 9.1 MUI v.9.1.0 Внимание! Скачать обновления 0

@PovAndy 1 / 1 / 0 Регистрация: 30.09.2013 Сообщений: 95
	24.01.2014, 12:36 [ТС]	16
	Сообщение от shestale Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. Рекомендации после удаления вредоносного ПО Аваст заблокировал SecurityCheck by glax24, и не даёт скачать, даже если аваст отключаю! 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.01.2014, 12:58	17
	После отключения АВаста, почистите кэш и куки в браузере, а потом без аваста загрузите, ссылка не заразная. 0

@PovAndy 1 / 1 / 0 Регистрация: 30.09.2013 Сообщений: 95
	25.01.2014, 13:02 [ТС]	18
	Сообщение от shestale После отключения АВаста, почистите кэш и куки в браузере, а потом без аваста загрузите, ссылка не заразная. Спасибо, в защищённом режиме загрузил и всё сделал. 0