вирус блокирует AVZ AVPTool HiJack ,переделанный HiJack (другой формат). помогите пожалуйста
с флешки пробывал - такая же история
(на перезагрузку комп не уходит, только перезапускает пользователя...)
вирус блокирует AVZ AVPTool HiJack ,переделанный HiJack (другой формат). помогите пожалуйста
с флешки пробывал - такая же история
(на перезагрузку комп не уходит, только перезапускает пользователя...)
Заходим в редактор реестра и ищем -
ветка
параметрКод:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Содержимое этого параметра выписываем сюда.Код:userinit
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\gmrhoqe.exe,
это содержимое?
Ага, оно самое. Теперь -
Вот этого красавца - C:\WINDOWS\system 32\gmrhoqe.exe находим вручную и убиваем, скорее всего файл скрытый.
И исправляем содержимое параметра userinit, оставляя только - C:\WINDOWS\system32\userinit.exe, (включая запятую)
Пробуем запустить АВЗ.
gmrhoqe.exe - удалил.
userinit.exe - не смог изменить (меняю, захожу снова там все по старому) (запятую не забыл )
AVZ не запускается
1. Переименуйте папку AVZ, задайте ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
2. Переименуйте avz.exe в что-то типа test.exe, game.pif, program.com
3. Запустите AVZ с ключом: avz.exe ag=y
как запустить AVZ с ключом?
Пуск - Выполнить - Там вводим "полный путь к файлу avz.exe, включая сам файл", через пробел пишем ag=y. Пример -
"C:\Documents and Settings\Username\Рабочий стол\avz4\avz.exe" ag=y
не запустился
Добавлено через 2 минуты
запустил с am=y ag=y
все ок?
Последний раз редактировалось Comb; 05.12.2010 в 16:52. Причина: Добавлено
Пробуем снять логи.
логи
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gmrhoqe.exe, O1 - Hosts: 69.10.53.230 odnoklassniki.ru O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru O1 - Hosts: 69.10.53.230 vkontakte.ru O1 - Hosts: 69.10.53.230 www.vkontakte.ru O1 - Hosts: 69.10.53.230 vk.com O1 - Hosts: 69.10.53.230 www.vk.com
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteRepair(11); ExecuteRepair(17); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); RebootWindows(true); end.
- Скачайте последнюю версию АВЗ
- Обновите базы
- Переделайте логи
скрипт сделан
фикс сделан
логи предоставляю с AVZ последней версией без обновления баз (при обновлении выскакивает ошибка, как на старом авз, так и на новом)
Переделайте логи в нормальном режиме.
логи из нормального режима
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\bdmpegv.dll',''); QuarantineFile('C:\go3.pif',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(20); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Какие браузеры кроме ИЕ установлены?
K-Meleon
Где quarantine.zip?
Уважаемый(ая) Comb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.