Проблема c Антивирусом, ошибка "not valid Win32"

[Admin]

Проверим ваш компьютер с помощью программы которая ищет руткиты.
Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечисленны все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Встаьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Сделайте окно GMER активным снова.
В верхней части кликните по кнопке «> > >».
Выберите вкладку Autostart.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Встаьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Закройте программу GMER.

Вставьте оба лога в ваш следующий ответ.

[Aless]

программа GMER не запускается. Если успели заметить, пока что ни одна антивирусная и сканирующая программа не запустилась на моем компьютере. Firewall тоже не работает.

[Admin]

Если успели заметить,

Это сарказм ? 🙂 Как вы можете заметить, кое-что запускается.

Ваш компьютер заражён довольно сложно излечимым вирусом (Rootkit.Bagle), поэтому я жду от вас не каких-то саркастических замечаний, а сотрудничества.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Попробуйте запустить эту программу. Отпишите, если это прошло удачно.

[Aless]

OTMoveIt3 by OldTimer запускается. Что и как делать дальше?

[Admin]

Извините за задержку.
Попробуем удалить компоненты вируса вручную.

Перезагрузить компьютер в безопасном режиме.

* перезагрузите свой компьютер
* после того как ваш компьютер подаст короткий звуковой сигнал, нажмите клавишу F8
* перед вами покажется меню загрузки Windows
* выберите безопасный режим (Safe Mode) — первую строчку и нажмите Enter

Кликните правой клавише по иконке Мой компьютер.
Выберите пункт Свойства.
Кликните по вкладке Оборудование.
Кликните по кнопке Диспетчер устройств.
В верхнем меню, кликните Вид, в открывшемся меню кликните Показывать скрытые устройства.
Далее в окне где перечислены категории драйверов найдите Драйверы устройств не Plug and Play.
Откройте эту категорию, кликнув по плюсу слева от названия.
В списке найдите драйвер sK9Ou0s. Кликните по нему правой клавишей и выберите пункт Удалить.
Подтвердите свои действия и разрешите перезагрузку.

Загрузить компьютер снова в Безопасном режиме.
Кликните Пуск, Выполнить.
В строке ввода наберите regedit и нажмите Enter.
В левом окне редактора реестра последовательно откройте (кликая по знаку + слева от названия раздела):

HKEY_LOCAL_MACHINE

SOFTWARE

Microsoft

Windows

CurrentVersion

Run

В правом окне кликните правой клавишей по параметру lphcew7j0e3fl и в меню выберите Удалить.
Подтвердите свои действия.
Закройте редактор реестра.

Включите показ скрытых файлов.

Кликните Мой компьютер.
Кликните Сервис, выберите пункт Свойства папки.
Выберите вкладку Вид.
Уберите галочку напротив пункта Скрывать защищенные системные файлы.
Поставьте галочку напротив пункта Показывать скрытые файлы и папки.
Закройте настройки кликнув по кнопке OK.

Найдите и удалите следующие файлы:

C:WINDOWSsystem32lphcew7j0e3fl.exe

C:WINDOWSsystem32driverssrosa2.sys

Перезагрузите компьютер в Нормальный режим.
Запустите OTViewIt и выполните сканирование компьютера.

Жду от вас OTViewIt лог.

[Aless]

Дело в том, что безопасный режим не запускается. При нажатии на F8 показывается меню загрузки, выбираю Save Mode, он перезагружается с нуля и открывает опять меню загрузки, если опять выбрать Save Mode, то опять по новой все происходит… несколько раз пытался, не запускается в безопасном режиме.
Так было изначально, в первом сообщении я об этом упоминал.

[Pili]

— Скачайте AVZ и распакуйте avz4.zip в отдельную папку.
— Запустите AVZ и обновите базы (Файл — Обновление баз). Выберите из меню Файл — Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите «Выполнить отмеченные скрипты». После выполнения скрипта обязательно перезагрузите компьютер.
— Вложите в следующее сообщение файл virusinfo_syscure.zip из каталога AVZLOG
Если AVZ не запустится, скачайте и запустите эту версию AVZ

[Aless]

Сработала только 2-ая версия AVZ. Прикладываю все, что создалось после скана.
Для информации хочу напомнить, что интернет-Explorer на поврежденном компе не работает. Могут работать некоторые проги типа аськи, но так как ни один антивирус не устанавливается и не запускается, естественно интернет к компу не подключаю. Все программы только через мемори-стик с другого компа.

[akoK]

В карантине
C:WINDOWSsystem32wintems.exe — Email-Worm.Win32.Bagle.of

AVZ, меню «Файл — Выполнить скрипт» — Скопировать ниже написанный скрипт— Нажать кнопку «Запустить».

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('%System32%driverssrosa.sys','');

QuarantineFile('%System32%drivershldrrr.exe','');

QuarantineFile('%System32%wintems.exe','');

QuarantineFile('%System32%driversmdelk.exe','');

QuarantineFile('%System32%mdelk.exe','');

DeleteFile('%System32%drivershldrrr.exe');

DeleteFile('%System32%driverssrosa.sys');

DeleteFile('%System32%wintems.exe');

DeleteFile('%System32%driversmdelk.exe');

DeleteFile('%System32%mdelk.exe');

BC_ImportALL;

ExecuteSysClean;

If DirectoryExists('%System32%driversdown') then

begin

DeleteFileMask('%System32%driversdown', '*.*', true);

DeleteDirectory('%System32%driversdown');

If DirectoryExists('%System32%driversdown') then

AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');

end

else

AddToLog('Папки down нет');

If DirectoryExists('%System32%driversdownld') then

begin

DeleteFileMask('%System32%driversdownld', '*.*', true);

DeleteDirectory('%System32%driversdownld');

If DirectoryExists('%System32%driversdownld') then

AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');

end

else

AddToLog('Папки downld нет');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then

begin

AddToLog('Обнаружен параметр в реестре drvsyskit');

RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then

AddToLog('Ошибка удаления параметра drvsyskit') else

AddToLog('Параметр drvsyskit успешно удален');

end;

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then

begin

AddToLog('Обнаружен параметр в реестре german.exe');

RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then

AddToLog('Ошибка удаления параметра german.exe') else

AddToLog('Параметр german.exe успешно удален');

end;

if RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then

begin

AddToLog('Найден ключ реестра FirstRRRun');

RegKeyDel('HKEY_CURRENT_USER', 'SoftwareFirstRRRun');

If RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then

AddToLog('Ошибка удаления ключа реестра FirstRRRun') else

AddToLog('ключ реестра FirstRRRun успешно удален');

end;

SaveLog(GetAVZDirectory + 'B_d.txt');

BC_DeleteSvc('srosa');

BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Полученный архив отправьте на akokpisem.net с указанной ссылкой на тему. (at=@)

После перезагрузки выполнить такой скрипт:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

DeleteFile('%System32%drivershldrrr.exe');

DeleteFile('%System32%driverssrosa.sys');

DeleteFile('%System32%wintems.exe');

DeleteFile('%System32%driversmdelk.exe');

DeleteFile('%System32%mdelk.exe');

DeleteFile('c:windowssystem32wintems.exe');

DeleteFile('c:windowssystem32driverswinfilse.exe');

DeleteFile('c:documents and settingslidia.homeapplication datamflec006.exe');

DeleteFile('C:WINDOWSsystem32wintems.exe');

DeleteFile('C:WINDOWSsystem32driverswinfilse.exe');

DeleteFile('C:WINDOWSsystem32driverssrosa.sys');

DeleteFile('C:WINDOWSsystem32lphcew7j0e3fl.exe');

DeleteFile('D:System Volume Information_restore{932E7383-1977-44AF-9E7F-988839CF2A1B}RP42A0039651.exe');

DeleteFile('D:System Volume Information_restore{932E7383-1977-44AF-9E7F-988839CF2A1B}RP43A0041461.exe');

DeleteFile('D:System Volume Information_restore{932E7383-1977-44AF-9E7F-988839CF2A1B}RP43A0042429.exe');

DeleteFile('D:System Volume Information_restore{932E7383-1977-44AF-9E7F-988839CF2A1B}RP44A0043892.exe');

BC_ImportALL;

ExecuteSysClean;

If DirectoryExists('%System32%driversdown') then

begin

DeleteFileMask('%System32%driversdown', '*.*', true);

DeleteDirectory('%System32%driversdown');

If DirectoryExists('%System32%driversdown') then

AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');

end

else

AddToLog('Папки down нет');

If DirectoryExists('%System32%driversdownld') then

begin

DeleteFileMask('%System32%driversdownld', '*.*', true);

DeleteDirectory('%System32%driversdownld');

If DirectoryExists('%System32%driversdownld') then

AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');

end

else

AddToLog('Папки downld нет');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then

begin

AddToLog('Обнаружен параметр в реестре drvsyskit');

RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then

AddToLog('Ошибка удаления параметра drvsyskit') else

AddToLog('Параметр drvsyskit успешно удален');

end;

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then

begin

AddToLog('Обнаружен параметр в реестре german.exe');

RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then

AddToLog('Ошибка удаления параметра german.exe') else

AddToLog('Параметр german.exe успешно удален');

end;

if RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then

begin

AddToLog('Найден ключ реестра FirstRRRun');

RegKeyDel('HKEY_CURRENT_USER', 'SoftwareFirstRRRun');

If RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then

AddToLog('Ошибка удаления ключа реестра FirstRRRun') else

AddToLog('ключ реестра FirstRRRun успешно удален');

end;

SaveLog(GetAVZDirectory + 'B_d.txt');

BC_DeleteSvc('srosa');

BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

Прикрепите к следующему сообщению
B_d.txt и boot_clr_B_d.log

Повторите логи.

Для удобства
AVZ, меню «Файл — Выполнить скрипт» — Скопировать ниже написанный скрипт— Нажать кнопку «Запустить».

begin

ExecuteStdScr(3);

RebootWindows(true);

end.

[akoK]

Должен появится лог virusinfo_syscure.zip — вот его и приложите….также лог RSIT

[Aless]

Полученный архив отправил на мыл, остальное прилагаю.
Вот на счет лога RSIT не понял, нет его …

[Pili]

Деинсталлируйте Registry Easy (C:Program FilesRegistry Easy) и mx one (c:program filesmx one) через панель управления — установка/удаление программ.
Запустите AVZ, далее в меню файл — выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, нажмите кнопку «Запустить».

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

TerminateProcessByName('c:program filesmx onemogtr.exe');

TerminateProcessByName('c:windowssystem32driverswinfilse.exe');

QuarantineFile('C:WINDOWSsystem32driverssrosa2.sys','');

QuarantineFile('C:Program FilesRegistry EasyRE.exe','');

QuarantineFile('c:program filesmx onemogtr.exe','');

QuarantineFile('c:windowssystem32driverswinfilse.exe','');

DeleteFile('c:windowssystem32driverswinfilse.exe');

DeleteFile('c:program filesmx onemogtr.exe');

DeleteFile('C:Program FilesRegistry EasyRE.exe');

DeleteFile('C:WINDOWSsystem32driverssrosa2.sys');

DeleteService('sK9Ou0s');

BC_ImportALL;

ExecuteSysClean;

BC_DeleteFile('c:windowssystem32driverswinfilse.exe');

BC_DeleteFile('C:WINDOWSsystem32driverssrosa2.sys');

BC_DeleteSvc('sK9Ou0s');

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё раз второй скрипт и предыдущего поста Akok`a и затем скрипт ниже

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.

Если безопасный режим всё ещё не будет работать, выполните в AVZ скрипт

begin

ExecuteRepair(6);

ExecuteRepair(10);

RebootWindows(true);

end.

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat — подтвердить, нажав «Y»), после окончания сканирования скопируйте (Ctrl+A, Ctrlv+C) текст из C:Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции (на англ.яз) — how-to-use-combofix и здесь — скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) — для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте (Ctrl+A, Ctrlv+C) текст из C:ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix — how-to-use-combofix (на англ.яз.) и здесь
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[akoK]

А в карантине лежало:

C:WINDOWSsystem32wintems.exe — Email-Worm.Win32.Bagle.o
C:WINDOWSsystem32driverssrosa.sys — Trojan-Downloader.Win32.Bagle.afm
C:WINDOWSsystem32mdelk.exe — Email-Worm.Win32.Bagle.of

[Aless]

Не совсем понял как деинсталлировать Registry Easy (C:Program FilesRegistry Easy) и mx one (c:program filesmx one) через панель управления (установка/удаление программ), если оные там не значатся?

[Pili]

Можете пропустить этот шаг, основное от этих программ удалится скриптом, но можете воспользоваться утилитами удаления, рекомендую об этом почитать здесь

[Автор]

Сообщения