Функция **** перехвачена - вылечить не удается

Добрый день.

Симптомы: "слетел" установленный DrWeb, при попытке запустить установку инсталлятор вылетает. При попытке запуска avz - его окно появляется и тут же исчезает. В безопасном режиме виндоус не грузится вообще - вылетает в синий экран с сообщением STOP: c000021a потом кракозябры и "Session Manager initialization" - дальше кракозябры.

Что делал: снял винт, проверил сканером (DrWeb) на другой машине. Нашел зараженные файлы, удалил их (файлы были в system volume information и еще какие-то, явно не относящиеся к ОС). Поставил винт обратно в родную машину - в результате установщик DrWeb все равно не запускается. AVZ стала запускаться. В безопасном режиме виндоус не грузится.

В нормальном режиме запустил AVZ, запустил сканер, в логе ошибки типа:
Функция kernel32.dll:FindFirstFileA (209) перехвачена, метод APICodeHijack.JmpTo[1000DC2B]

лог прикладываю. Также приложил файлы, полученные в результате действий из раздела "Обязательно читать всем ..."

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\elena\Рабочий стол\ДискF.bat','');
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
QuarantineFile('c:\windows\system32\msuq32.dll','');
DeleteFile('c:\windows\system32\msuq32.dll');
DeleteFile('C:\WINDOWS\system32\cpadvai.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18041[/url]

Повторите логив обычном режиме, если опять BSOD создайте [url=http://virusinfo.info/showthread.php?t=10387]такой лог[/url]

[QUOTE=akoK;187497]Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18041[/url]

Повторите логив обычном режиме, если опять BSOD создайте [url=http://virusinfo.info/showthread.php?t=10387]такой лог[/url][/QUOTE]

карантин отправил

а что значит "Повторите логив обычном режиме" ? У меня как раз наоборот- в обычном комп грузится, в безопасном - нет.

[quote] У меня как раз наоборот- в обычном комп грузится, в безопасном - нет.[/quote]
Прпустил..:)
c:\windows\system32\msuq32.dll - [b]Worm.Win32.Feebs.nj[/b]

Повторяйте логи согласно правилам

то и значит, в обычном :) а чтобы починить безопасный режим попробуйте вот такое лекарство :
[code]
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
RebootWindows(true);
end.[/code]

Скрипт выполнил - безопасный режим не починился.

Прогнал снова сканирование - результаты поменялись, относительно того, который был в первом посте.

virusinfo_syscure
virusinfo_syscheck

Нам необходимы эти логи и лог HJT

[QUOTE=akoK;187568]virusinfo_syscure
virusinfo_syscheck

Нам необходимы эти логи и лог HJT[/QUOTE]

Вот

Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
O21 - SSODL: msuq32.dll - {4481B4FD-0027-0CBA-78D9-D3AC728F6EA7} - (no file)
[/code]
Отключите это:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
[/code]
Более ничего плохого не наблюдается.

Всё сделал. Но положительного эффекта не достиг :(

Вытащил винт снова, просканировал его на другой машине. Нашел 3 зараженных файла.

G:\WINDOWS\system32\msrb.exe инфицирован Win32.HLLM.Graz
G:\Documents and Settings\elena\Local Settings\Temp\exe3.tmp инфицирован Win32.HLLM.Graz
G:\Documents and Settings\elena\Local Settings\Temp\exe11.tmp инфицирован Win32.HLLM.Graz

Странно, что они не нашлись вчера. Удалил их.
Поставил винт обратно, запустил установку DrWeb - запустилась и прошла :) Спасибо отвечавшим !

Попробовал загрузиться [B]в безопасном режиме - не грузится[/B], ошибка та же :(

Загрузился в нормальном режиме, запустил avz, прогнал скрипт сбора информации для раздела "помогите". Там есть строчки типа:
Функция kernel32.dll : LoadLibraryA (578 ) перехвачена, метод APICodeHijack.JmpTo[600D2802]

Надо бояться или это побочный эффект от полезных программ ?

Файл C:\Documents and Settings\elena\Рабочий стол\ДискF.bat знаком?
В остальном вроде бы все чисто, эти строчки о перехватах - это нормально.
Попробуйте:
[code]begin
ExecuteRepair(10);
RebootWindows(true);
end.[/code]
safe mode вернется?

[QUOTE=rubin;188136]Файл C:\Documents and Settings\elena\Рабочий стол\ДискF.bat знаком?
В остальном вроде бы все чисто, эти строчки о перехватах - это нормально.[/QUOTE]ДискF.bat - это подключение сетевых дисков, это нужно.

[QUOTE=rubin;188136]Попробуйте:
[code]begin
ExecuteRepair(10);
RebootWindows(true);
end.[/code]
safe mode вернется?[/QUOTE]не вернулся :(
ладно, вроде ничем не проявляется зверье, комп забрали (главбух) если что проявится снова - буду смотреть.

Всем спасибо огромное, что не пришлось винду переставлять :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\msuq32.dll - [B]Worm.Win32.Feebs.nj[/B] (DrWEB: Win32.HLLM.Graz)[/LIST][/LIST]