Рекламный модуль / блокиратор

По порядку:
- внезапно, при ни первом запуске за сессию Opera, появляется рекламный баннер (код M201517522 номер 3381). AVP ни как на него не реагирует. Ореra и IE не запускаются. Не впервые сталкиваясь с подобным запускаю CCleaner, в разделе startup нахожу новую строчку winwoy32.exe с адресом C:\Documents and Settings\...\Главное меню\Программы\Автозагрузка. Радуюсь, открываю указанный путь, но папка пуста (не скрытых, не "системных элементов). Огорчаюсь, но отключаю автозагрузку winwoy32 (потом узнаю, что это Kernel32, мне правда это ни о чём не говорит). Пробую удалить строчку - не удаляется. Перезагружаюсь.
- Система загружается с ошибками, практически ничего из автозагрузки не загружается, в том числе и AVP. При ручном запуске AVP - сообщение о том, что запуск этого програмного... запрещёл параметрами групповой политики. Запускаю gpedit - вылетает через пол секунды.
- Дальше долгая эпопея с попыткой запустить хоть что-нибудь. Ничего из admintools не запускается или сразу закрывается. Запустился только диспечер служб. Служба Касперского отключена. При попытке ручного запуска - система начинает резко завершать работу. Системные менеджеры не запускаются. Диспечер само собой заблокирован. Msconfig запускается, но в нём ничего новго или интересного.
Самое интересное, что баннера-то моего нет всё это время. Появляется он только при попытке запуска браузера. Иногда браузер удаётся запустить и баннер не появляется, иногда не удаётся - появляется.
[B]- при запуске AVZ и hijackthis - экстренное завершение работы.
- hijackthis всё таки успевает закончить лог до выключения - приложил. [/B]

Пофиксил
[code]O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\Inf\netrsvp.inf:BZM1WD0E82G
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\a28bad12.exe,C:\WINDOWS\system32\3577631a.exe,\\?\globalroot\systemroot\system32\DrlL68o.exe,\\?\globalroot\systemroot\system32\1cJewG1.exe,\\?\globalroot\systemroot\system32\7B84ce6.exe,\\?\globalroot\systemroot\system32\mQtkyWu.exe,[/code]
Всё равно, при запуске AVZ - завершение работы.

Совершенно случайно наткнулся в system32 на такую ерунду. Есть подозрение. Что сделать рекомендуете?

Пробуем так, переименуйте АВЗ в pong.pif
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\a28bad12.exe,C:\WINDOWS\system32\3577631a.exe,\\?\globalroot\systemroot\system32\DrlL68o.exe,\\?\globalroot\systemroot\system32\1cJewG1.exe,\\?\globalroot\systemroot\system32\7B84ce6.exe,\\?\globalroot\systemroot\system32\mQtkyWu.exe,
O20 - AppInit_DLLs: C:\WINDOWS\Inf\netrsvp.inf:BZM1WD0E82G
[/code]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\3577631a.exee','');
QuarantineFile('C:\WINDOWS\system32\a28bad12.exe','');
QuarantineFile('%system32%\DrlL68o.exe','');
QuarantineFile('%system32%\1cJewG1.exe','');
QuarantineFile('%system32%\7B84ce6.exe','');
QuarantineFile('%system32%\mQtkyWu.exe','');
DeleteFile('C:\WINDOWS\system32\a28bad12.exe');
DeleteFile('C:\WINDOWS\system32\3577631a.exe');
DeleteFile('%system32%\DrlL68o.exe');
DeleteFile('%system32%\1cJewG1.exe');
DeleteFile('%system32%\7B84ce6.exe');
DeleteFile('%system32%\mQtkyWu.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
Executerepair(16);
Executerepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[B]shapel[/B], пофиксил уже, говорю. Или вы ничего кроме логов не читаете? Перемименование AVZ результатов не даёт - завершение работы.

[B]MrRewolwer[/B], на каких форумах еще создали темы? На оффоруме ЛК выписан очередной рецепт

Только здесь и там.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 29 минут[/I][/B][/color][/size]

Здаётесь, хелперы? Я тоже...

[QUOTE='MrRewolwer;639563']пофиксил уже, говорю[/QUOTE]
После фикса и перезагрузки лог повторите.

[QUOTE='MrRewolwer;639563']Меня вот это напрягает[/QUOTE]
Тут ничего опасного.

[QUOTE=Bratez;639613]
Тут ничего опасного.[/QUOTE]
Хорошо.

Лог после фикса.

Ничего плохого больше не видно.
А AVZ по-прежнему отказывается работать?

В главном меню HijackThis нажмите [I]Open the Misc Tools[/I] section, а там [I]IgnoreList[/I], проверьте, нет ли чего в этом списке игнорирования.

Да! В IgnoreList HijackThis была строчка С:\WINDOWS\Fonts\ONYX.TTF:BZM1WDOE82G. И тут как раз на форуме ЛK мне подсказывают поискать C:\WINDOWS\Inf\netrsvp.inf:BZM1WD0E82G. Netrsvp.inf:BZM1WD0E82G у меня нет, но вот эта "BZM1WD0E82G" мне как бы намекает! Я перемешаю С:\WINDOWS\Fonts\ONYX.TTF:BZM1WDOE82G в другое место и УРА - всё грузится без ошибок, всё запускается! Логи приложил.

!!! Файл ONYX.rar - запароленный архив с ONYX.TTF:BZM1WDOE82G - я его заархивил до того как начал работу AVZ. Пароль: virus

БАМП! (sorry :P)

[QUOTE]!!! Файл ONYX.rar - запароленный архив с ONYX.TTF:BZM1WDOE82G - я его заархивил до того как начал работу AVZ. Пароль: virus [/QUOTE]
- загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Сделал.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Fonts\ONYX.TTF:BZM1WD0E82G','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GKIYU7G7\QvY76bjEUs3nC5q[1].htm','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XQTCMQNZ\9m6vzrTi1fjg3Bb[1].htm','');
DeleteFile('C:\WINDOWS\Fonts\ONYX.TTF:BZM1WD0E82G');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GKIYU7G7\QvY76bjEUs3nC5q[1].htm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XQTCMQNZ\9m6vzrTi1fjg3Bb[1].htm');
DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
QuarantineFile('C:\WINDOWS\inf\netrsvp.inf:BZM1WD0E82G:$DATA','');
DeleteFile('C:\WINDOWS\inf\netrsvp.inf:BZM1WD0E82G:$DATA');
DeleteFile('C:\WINDOWS\inf\netrsvp.inf:BZM1WD0E82G');
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp6000.tmp','');
RegSearch('HKLM', '', 'esp6000.tmp');
SaveLog(GetAVZDirectory + 'search.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- файл [B]search.log[/B] из папки AVZ прикрепите к сообщению

Up :)

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\56111306');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\56111306');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\56111306');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp6000.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp6000.tmp');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

Вот.
Скрипт выполнен после работы ComboFix. Лог ComboFix на всякий случай приложил.

В логах чисто.Что с проблемой?

обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://www.adobe.com/go/EN_UK-H-GET-READER"]Adobe Reader 9.3[/URL] или удалите старый.

Симптомов никаких, должно быть проблема решена. Спасибо большое, вы супер, сайт супер, я в восторге. :D

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

Вот!
AVP по прежнему не запускается:
Невозможно открыть данную программу из-за политики ограничения программного обеспечения. За дополнительной информацией обратитесь к системному администратору. Научите как исправить, пазязя.

Попробуйте табл №6 из AVZ - Файл - "Восст. системы"

Выполнил
[code]
begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
[/code]
Запустился.

Спасибо огромное!