AVZ не запускается

[StepIn]

Компьютер заражен, в безопасном режиме не грузился. При подключении к Интернету самопроизвольно перегружался. Почистил вирусы, нашел кучу троянов, бекдоров. Сейчас в безопасном режиме работает. Нет на экране клавиши Пуск и TaskBar в одну строчку. Не могу отключить восстановление системы. AVZ не запускается ни в обычном, ни в безопасном режиме. Переименование не помогает. Когда-то видел специальную утилиту AVZ для этого, но не нашел пока. Мог сделать только лог HiJackThis. Его и высылаю.

[Info_bot]

Уважаемый(ая) StepIn, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Acidorum]

Здравствуйте.
Попробуйте так:
1. Скачайте такой AVZ.
2. Переименуйте его и попытайтесь запустить.
3. Если не выйдет, создайте ярлык к AVZ (нажатие правой клавишей мыши по иконке AVZ->Создать ярлык (Create Shortcut)). Откройте свойства ярлыка, в поле "Объект" (Target) припишите к исходному значению строку:
AM=Y AG=Y
Попытайтесь запустить AVZ.

[StepIn]

Спасибо за ссылку. Скаченный AVZ запустился без переименования. Не запускается IE.
Вот логи. Проверьте, пожалуйста.

[crush13]

StepIn, здравствуйте.
1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- Обязательно!!! Отключить системное восстановление!!! как - посмотреть можно здесь (по окончанию лечения включите);
- Выгрузите антивирус и/или Файрвол;
- Пофиксите в HJT:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\55715220.exe,C:\WINDOWS\system32\qxnzjt.exe,
O4 - HKLM\..\Run: [781943.exe] "C:\DOCUME~1\Admin\LOCALS~1\Temp\781943.exe"
O4 - HKCU\..\Run: [YDZ1QVAGOJ] C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqr.exe
O4 - HKCU\..\Run: [W1WIWQ1NPG] C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqw.exe
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Admin\cqd.exe \u
O4 - HKCU\..\Run: [Yfknkl] C:\Documents and Settings\Admin\Application Data\Yfknkl.exe
O4 - HKUS\S-1-5-21-1202660629-1085031214-1606980848-500\..\Run: [YDZ1QVAGOJ] C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqr.exe (User '?')
O4 - HKUS\S-1-5-21-1202660629-1085031214-1606980848-500\..\Run: [W1WIWQ1NPG] C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqw.exe (User '?')
O4 - HKUS\S-1-5-21-1202660629-1085031214-1606980848-500\..\Run: [MSConfig] C:\Documents and Settings\Admin\cqd.exe \u (User '?')
O4 - HKUS\S-1-5-21-1202660629-1085031214-1606980848-500\..\Run: [Yfknkl] C:\Documents and Settings\Admin\Application Data\Yfknkl.exe (User '?')

- Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\781943.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqw.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Yfknkl.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\cqd.exe','');
 QuarantineFile('C:\WINDOWS\system32\55715220.exe','');
 QuarantineFile('C:\WINDOWS\system32\qxnzjt.exe','');
 QuarantineFile('C:\WINDOWS\system32\schannel.dll','');
 QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqr.exe','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqr.exe');
 DeleteFile('C:\WINDOWS\system32\qxnzjt.exe');
 DeleteFile('C:\WINDOWS\system32\55715220.exe');
 DeleteFile('C:\Documents and Settings\Admin\cqd.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Yfknkl.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqw.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\781943.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{1C1EDB47-CE22-4bbb-B608-77B48F83C823}');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
 ExecuteWizard('TSW',2,3,true);
 ExecuteWizard('SCU',2,2,true);                   
RebootWindows(true);
end.

Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;
4. Сделайте повторные логи по правилам п.2 и п.3 раздела "Диагностика" (virusinfo_syscheck.zip; hijackthis.log).
5. Сделайте лог полного сканирования MBAM.

[StepIn]

Уже и обычный AVZ запускается. Не могу отключить восстановление системы. Во время отключения выдает ошибку включения-отключения восстановления системы. Не могу стартануть IE. Поэтому логии делал без IE и включенной системой восстановления. Установился, но при запуске дает ошибку контрола. Пофиксил HiJackThis. Выполнил скрипт. Вот логи.
Карантин выслал:
Файл сохранён как 110628_105756_quarantine_4e09b3b476126.zip
Размер файла 285306
MD5 6c2c2ee5196dae48f7f6917502484a29

[Acidorum]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqr.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте повторный лог virusinfo_syscheck.zip.
Сделайте лог MBAM.
Проверьте наличие файла
C:\WINDOWS\System32\svchost.exe

[StepIn]

Установился MBAM, но при запуске дает ошибку контрола.

[StepIn]

Действительно не было файла svchost.exe. Скопировал. Появилася TaskBar и Пуск. Нормально запустился MBAM. Выполнил скрипт. Вот логи. Не запускается IE по прежнему.

[Acidorum]

Удалите в MBAM:

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\W1WIWQ1NPG (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\YDZ1QVAGOJ (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Объекты реестра заражены:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (regedit.exe %1) Good: (regedit.exe "%1") -> No action taken.

Зараженные файлы:
c:\WINDOWS\Drelac.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelad.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelae.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelaf.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelag.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelah.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelai.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelaj.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelak.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\documents and settings\Admin\application data\3.exe (Trojan.Agent) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
d:\правила дорожнього руху-украина_10992-.zip.exe (Adware.Agent) -> No action taken.

Сделайте повторный лог MBAM.
Сделайте лог HijackThis.
Восстановите IE так.

[StepIn]

Вот новые логи.

[thyrex]

Что с проблемой?

[StepIn]

Интернет есть. Система грузится нормально. Сейчас пробую переустановить ie.

[StepIn]

IE работает. Не запускается оснастка Computer Management. Вот новый лог MBAM. Почему-то опять заражен svchost.exe. Что надо пофиксить?

[thyrex]

c:\WINDOWS\svchost.exe (Trojan.Agent) -> No action taken. удалите

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 22
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\svchost.exe - Virus.Win32.Hidrag.a ( DrWEB: Win32.HLLP.Jeefo.36352, BitDefender: Win32.Jeefo.B, NOD32: Win32/Jeefo.A virus, AVAST4: Win32:Jeefo )