Принесли ноутбук ASUS X55A с Windows 7 "Начальная" (32-bit) с проблемой "не запускаются любые программы". На деле выяснилось следующее: не запускается то, что относится к настройке ОС (MMC-консоль, msconfig и т.п.). Всякая мелочь вроде пэйнта запускается (скриншот (http://i036.radikal.ru/1306/77/9b2ad6697869.png) ошибки). Ладно, снял HDD, подключил к компу, запустил KIS 2013, обновил базы, выставил максимальные настройки и прогнал подключённый HDD целиком. Список найденного (http://s60.radikal.ru/i169/1306/1e/7fa50d239cd6.png) впечатлил. На всякий случай просканил HDD еще и с помощью Malwarebytes' Anti-Malware, он нашёл ещё 6 шт. всякой мелочи (отчёт (http://rghost.ru/46915042)). Сделал chkdsk C: /f /r - битых файлов и секторов не нашёл, да и S.M.A.R.T. говорит что всё ОК (смотрел через HD Tune Pro). Вставил хард обратно в ноут и убедился что всё это не помогло.

Далее запустил командную строку, однако система sfc /scannow выполнять отказалась, сказав что не хватает прав. На всякий случай загрузился в Безопасном режиме, где с удивлением обнаружил что всё запускается и работает нормально (разве что Диспетчер устройств пустой почему-то и флэшки определяются только после перезагрузки). Хм, подумал я... В Безопасном режиме sfc /scannow отработал нормально, но сказал что с системными файлами всё ОК. На всякий случай применил REG-файлик для возврата служб в исходное состояние (брал отсюда (http://www.blackviper.com/2010/12/16/windows-7-service-pack-1-services-registry-files-2/)), но никакого эффекта это не принесло. Список служб проглядел чисто визуально, ничего лишнего не обнаружил. На всякий случай создал второго пользователя с помощью control userpasswords2, но в нём та же ерунда.

Запустил AVZ и сделал логи: лог virusinfo_syscure (http://rghost.ru/46915806), лог virusinfo_syscheck (http://rghost.ru/46916128). Плюс лог HiJackThis (http://rghost.ru/46916120) (надеюсь сделал правильно, первый раз делаю потому что).

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
ImagePathStr, RootStr, SubRootStr, LangID: string;
AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
Inc(AllRoots);
if RegKeyExistsEx('HKLM', Root) then
RegKeyResetSecurity('HKLM', Root)
else
begin
Inc(RootsRestored);
RegKeyCreate('HKLM', Root);
AddToLog(RegSectMsg + Root + RestMsg);
end;
end;

procedure CheckAndRestoreSubSection;
begin
CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
RegKeyStrParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
begin
RegKeyIntParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, Param) then
begin
ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
RestoredMsg(RootStr, Param);
end;
end;

procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
if RegKeyExistsEx('HKLM', RegStr) then
begin
Inc(AllKeys);
RegKeyResetSecurity('HKLM', RegStr);
RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
FixedMsg(RegStr, 'ImagePath');
end;
end;

procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
i : integer;
begin
if Srv = 'BITS' then
FileServiceDll := FullPathSystem32 + 'qmgr.dll'
else
FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

CheckAndRestoreSection(RootStr);

CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
else
begin
Dec(AllKeys);
if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
for i:= 0 to 999 do
begin
if i > 0 then
CCSNumber := FormatFloat('ControlSet000', i)
else
CCSNumber := 'CurrentControlSet';
ImagePathFix(CCSNumber, Srv);
end;
end;

CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
CheckAndRestoreIntParam(RootStr, 'Start', 2);
CheckAndRestoreIntParam(RootStr, 'Type', 32);

if Srv = 'BITS' then
begin
CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
end;

SubRootStr:= RootStr + '\Enum';
CheckAndRestoreSubSection;

CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

SubRootStr := RootStr + '\Security';
CheckAndRestoreSubSection;

Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
begin
RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff, 00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,0 0,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00 ,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01, 01,00,00,00,00,00,05,12,00,00,00');
RestoredMsg(SubRootStr, 'Security');
end;

SubRootStr:= RootStr + '\Parameters';
CheckAndRestoreSubSection;

Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
RestoredMsg(SubRootStr, 'ServiceDll');
end
else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
FixedMsg(SubRootStr, 'ServiceDll');
end
end;

begin
ExecuteAVUpdate;
ClearLog;
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
if LangID = '0419' then
begin
DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
DispayNameTextWuauServ := 'Автоматическое обновление';
DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
AddToLog('Операционная система - русская');
FinishMsg := '–––– Восстановление завершено ––––';
RestoreMsg := 'Восстановлено разделов\параметров: ';
FixMsg := 'Исправлено параметров: ';
CheckMsg := 'Проверено разделов\параметров: ';
RegSectMsg := 'Раздел реестра HKLM\';
ParamMsg := 'Параметр ';
ParamValueMsg := 'Значение параметра ';
InRegSectMsg := ' в разделе реестра HKLM\';
CorrectMsg := ' исправлено на оригинальное.';
RestMsg := 'восстановлен.';
end
else if LangID = '0409' then
begin
DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
DispayNameTextWuauServ := 'Automatic Updates';
DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
DispayNameTextBITS := 'Background Intelligent Transfer Service';
AddToLog('Operation system - english');
FinishMsg := '–––– Restoration finished ––––';
RestoreMsg := 'Sections\parameters restored: ';
FixMsg := 'Parameters corrected: ';
CheckMsg := 'Sections\parameters checked: ';
RegSectMsg := 'Registry section HKLM\';
ParamMsg := 'Parameter ';
ParamValueMsg := 'Value of parameter ';
InRegSectMsg := ' in registry section HKLM\';
CorrectMsg := ' corrected on original.';
RestMsg := ' restored.';
end;
AddToLog('');

NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';

AllRoots := 0;
AllKeys := 0;
RootsRestored := 0;
KeysRestored := 0;
KeysFixed := 0;

CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

AddToLog('');
AddToLog(FinishMsg);
AddToLog('');
AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
AddToLog(FixMsg + IntToStr(KeysFixed));
AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
ExecuteWizard('SCU', 2, 3, true);
ExecuteRepair(14);
RebootWindows(true);
end.




После выполнения скрипта компьютер перезагрузится!

После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS. Его необходимо прикрепить к следующему посту

После перезагрузки выполните такой скрипт:

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)


В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.39.
Пожалуйста обновите базы и сделайте новые логи.

AVZ + RSIT

Строчку в HijackThis пофиксил. Выложил (http://rghost.ru/46935679) в одном архиве следующие логи.
- Correct_wuauserv&BITS.log
- virusinfo_syscheck.zip
- virusinfo_syscure.zip
- RSIT log.txt

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Александр\AppData\Roaming\iwdefender.exe','');
DeleteFile('C:\Users\Александр\AppData\Roaming\iwdefender.exe');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Internet Security');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.




После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

+

В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

Хм... Зашёл в C:\Users\Александр\AppData\Roaming - нет там такого файла. Соответственно, карантин (папка) пустой создался. Поиск по слову webalta сделал, лог тут (http://rghost.ru/46975879).

удалите все найденное по вебальте

что нового в системе?

Удалил. Нового ничего - по-прежнему "указанная служба не установлена".

Скачайте ComboFix здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://safezone.cc/forum/showthread.php?t=18577). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

Эм... В общем, сей КомбоФикс рестартанул систему, а я этого не заметил даже. И когда снова посмотрел на экран, ноут запустился в обычном режиме (где ничего не работает), я увидел тучу ошибок (указанная служба не установлена), только относящаяся уже к этому КомбоФиксу. Запустил его еще раз, на этот раз проследил чтобы он после перезагрузки в Безопасном режиме загрузился. Надеюсь, на чистоту логов это не повлияло. Лог тут (http://rghost.ru/46981238).

c:\program files\what_you_say\be_youself\
это программа вам знакома ?

Нет, не знакома (ноут вообще не мой), но по указанному пути данная папка отсутствует. Показ и скрытых, и системных файлов включил.

как самочувствие?

SolarSpark, Я же написал - ничего нового. Проблема все еще присутствует. Но я так понимаю, ловить эту пакость бесполезно и проще будет уступить вирусу и переставить ОС?

Откройте блокнотом и покажите содержимое файла
C:\windows\tasks\At1.job
+
Сделайте лог HiJackThis (http://forum.oszone.net/post-1430293-2.html).

Похоже система довольно сильно покалечена. Подготовьте лог UVS (http://safezone.cc/forum/showthread.php?t=14508)

Если не поможет, то попробуем прогнать бетой этой программы (http://forum.oszone.net/thread-220985.html)

shestale, Эм... Так там только GoogleUpdate и всё. Будь там фигня типа At1.job, я бы её сам первым делом снёс.

По логам присутствует. Может скрытый?

Как подготовить лог ScheduledTasks (http://safezone.cc/forum/showthread.php?t=21384)

shestale, Да не, я уже давно включил отображение и скрытых, и системных файлов. Я папку Tasks вообще одной из первых проверяю, там одно время SMS-баннеры тусовались, вот и осталась привычка. Лог ScheduledTasks сделать не получается. То ли из-за того, что в Безопасном режиме я эту утилиту запускаю, то ли из-за чего-то другого. Он просто создаёт текстовой файл с парой строчек и всё:
Version: 0.1.0.10
WIN_7 Build 7601 (x86)
DataLog: 25.06.2013 12:38:47
UserName: Александр

akok, Лог UVS (http://rghost.ru/47001893).

+
Сделайте лог HiJackThis. »
А этот?