Блокирует AVZ, CureIT

[Lancelotru]

Удалось запустить AVZ только в безопасном режиме с поддержкой коммандной строки.
Создает папку bssrepp в \program files\common files\ копирует все открываемые документы и т.д. ведет лог kelog.txt

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\nzceox.exe,c:\windows\system32\binemh.exe,

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\system32\binemh.exe','');
 QuarantineFile('c:\windows\system32\nzceox.exe','');
 DeleteFile('c:\windows\system32\nzceox.exe');
 DeleteFile('c:\windows\system32\binemh.exe');
 BC_ImportAll;
 ExecuteSysClean;
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Попробуйте переименовать avz.exe в 123.com

- Сделайте логи в нормальном режиме

[Lancelotru]

Переименование AVZ в 123.com не помогает, hijackthis тоже.
Похоже ищет окна по заголовку.

[olejah]

Попробуйте скачать, запустить и сделать логи таким АВЗ

[Lancelotru]

выполнил в безопаске скрипт, после этого запустились AVZ и hijackthis.
Выполнил логи по новой. но папка карантина пуста

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\nzceox.exe,c:\windows\system32\binemh.exe,

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
 QuarantineFile('c:\windows\system32\binemh.exe','');
 QuarantineFile('c:\windows\system32\nzceox.exe','');
 DeleteFile('c:\windows\system32\nzceox.exe');
 DeleteFile('c:\windows\system32\binemh.exe');      
 BC_ImportAll;
 ExecuteSysClean;
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Сделайте лог МВАМ

[Lancelotru]

Карантин выслал.
Лог МВАМ

[Lancelotru]

Удалил все кроме ограничений уведомлений центра безопасности windows

[polword]

лог MBAM повторите

[Lancelotru]

проверял, после чистки все чисто.
Спасибо за помощь, буду наблюдать за компьютером

[polword]

Если чисто - обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены