вирус / проблема с диагностикой

вирус блокирует AVZ AVPTool HiJack ,переделанный HiJack (другой формат). :) помогите пожалуйста
с флешки пробывал - такая же история
(на перезагрузку комп не уходит, только перезапускает пользователя...)

Заходим в редактор реестра и ищем -

[B]ветка[/B]

[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]

[B]параметр[/B]

[CODE]userinit[/CODE]

- Содержимое этого параметра выписываем сюда.

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gmrhoqe.exe,

это содержимое?

Ага, оно самое. Теперь -

Вот этого красавца - [B]C:\WINDOWS\system 32\gmrhoqe.exe[/B] находим вручную и убиваем, скорее всего файл скрытый.

И исправляем содержимое параметра userinit, оставляя только - [B]C:\WINDOWS\system32\userinit.exe,[/B] (включая запятую)

Пробуем запустить АВЗ.

gmrhoqe.exe - удалил.
userinit.exe - не смог изменить (меняю, захожу снова там все по старому) (запятую не забыл:) )
AVZ не запускается

1. Переименуйте папку AVZ, задайте ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.

2. Переименуйте avz.exe в что-то типа test.exe, game.pif, program.com

3. Запустите AVZ с ключом: avz.exe ag=y

как запустить AVZ с ключом?

Пуск - Выполнить - Там вводим "полный путь к файлу avz.exe, включая сам файл", через пробел пишем ag=y. Пример -

"C:\Documents and Settings\Username\Рабочий стол\avz4\avz.exe" ag=y

не запустился

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

запустил с am=y ag=y
все ок?

Пробуем снять логи.

логи :beer:

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gmrhoqe.exe,
O1 - Hosts: 69.10.53.230 odnoklassniki.ru
O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru
O1 - Hosts: 69.10.53.230 vkontakte.ru
O1 - Hosts: 69.10.53.230 www.vkontakte.ru
O1 - Hosts: 69.10.53.230 vk.com
O1 - Hosts: 69.10.53.230 www.vk.com
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Скачайте [URL="http://z-oleg.com/secur/avz/download.php"]последнюю версию АВЗ[/URL]

[B]- Обновите базы[/B]

- Переделайте логи

скрипт сделан
фикс сделан
логи предоставляю с AVZ последней версией без обновления баз (при обновлении выскакивает ошибка, как на старом авз, так и на новом)

Переделайте логи в нормальном режиме.

логи из нормального режима:)

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\bdmpegv.dll','');
QuarantineFile('C:\go3.pif','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Какие браузеры кроме ИЕ установлены?

K-Meleon

Где quarantine.zip?