T701721200 на номер 8353

Вылез банер с такой просьбой...при запуске AVZ...компьютер начинает сам перезагружаться (завершение работы и т.д.)...AVPTool не хочет устанавливаться....как то подобный банер уже на одном компьютере был...решилось разблокировкой банера! ПОдсказали код...не могли бы подсказать какой код ввести? ЧТобы сделать ЛОги! Спасибо!

1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
[B]параметр[/B]
[code]AppInit_DLLs[/code]

Содержимое этого параметра напишите в своем сообщении

он пустой!

Зайдите через Администрирование и посмотрите еще раз

А подскажите где скачать ERD Commander...

[QUOTE='compworld;645525']А подскажите где скачать ERD Commander...[/QUOTE]Так Вы смотрели параметр через редактор реестра??? Неудивительно, что ничего не обнаружили

[url]http://www.google.com.by/search?client=opera&rls=ru&q=%D0%BE%D0%B1%D1%80%D0%B0%D0%B7+ERD+Commander&sourceid=opera&ie=utf-8&oe=utf-8[/url]

вот...разобрался...строка имеет вид:
C:\windows\system32\gpedit.msc:fVPzYD

Выполните с ERD Commander:
1. Переименуйте указанный файл
2. Очистите значение параметра AppInit_DLLs
3. Перезагрузитесь, загрузитесь обычным образом и пробуйте выполнять правила

не понятен первый пункт! Какой файл и во что переименовывать? Где его искать?

Получилось сделать логи посли очистки значения параметра AppInit_DLLs...вот логи:
[ATTACH]241866[/ATTACH]

[ATTACH]241867[/ATTACH]

[ATTACH]241868[/ATTACH]

пофиксите
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\DlvBvoI.exe,\\?\globalroot\systemroot\system32\aJHdI7a.exe,\\?\globalroot\systemroot\system32\UCVc7SX.exe,\\?\globalroot\systemroot\system32\taM0rfR.exe,
[/code]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF6DFC.tmp','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF88A2.tmp','');
QuarantineFile('C:\WINDOWS\Help\conf.chm:fVPzYD:$DATA','');
QuarantineFile('C:\WINDOWS\system32\ip.bat','');
QuarantineFile('C:\WINDOWS\TEMP\esp4AC3.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\taM0rfR.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Almeza\StaffLogger\sysdrvmon.exe','');
DeleteService('Netprotocol');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe','');
DeleteService('msupdate');
QuarantineFile('msupdate.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\BarQuery\barquery137.exe','');
DeleteFile('msupdate.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe');
DeleteFile('\\?\globalroot\systemroot\system32\taM0rfR.exe');
DeleteFile('C:\WINDOWS\TEMP\esp4AC3.tmp');
DeleteFile('C:\WINDOWS\Help\conf.chm:fVPzYD:$DATA');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DFFFA6.tmp');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF88A2.tmp');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF6DFC.tmp');
ExecuteRepair(20);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Карантин:
Файл сохранён как 100529_110936_virus_4c00bdb0f27df.zip
Размер файла 1075632
MD5 a285621b1fff83e24b6bdda380b32bb9
Логи:
[ATTACH]241876[/ATTACH]

[ATTACH]241877[/ATTACH]

[ATTACH]241878[/ATTACH]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('\\?\globalroot\systemroot\system32\taM0rfR.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\UCVc7SX.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\aJHdI7a.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\DlvBvoI.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\DlvBvoI.exe');
DeleteFile('\\?\globalroot\systemroot\system32\aJHdI7a.exe');
DeleteFile('\\?\globalroot\systemroot\system32\UCVc7SX.exe');
DeleteFile('\\?\globalroot\systemroot\system32\taM0rfR.exe');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
QuarantineFile('C:\WINDOWS\system32\ip.bat','');
DeleteService('BarQuery Service');
QuarantineFile('C:\Program Files\BarQuery\barquery.dll','');
QuarantineFile('c:\documents and settings\all users\application data\barquery\barquery137.exe','');
TerminateProcessByName('c:\documents and settings\all users\application data\barquery\barquery137.exe');
QuarantineFile('c:\program files\barquery\barquery.exe','');
TerminateProcessByName('c:\program files\barquery\barquery.exe');
DeleteFile('c:\program files\barquery\barquery.exe');
DeleteFile('c:\documents and settings\all users\application data\barquery\barquery137.exe');
DeleteFile('C:\Program Files\BarQuery\barquery.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\BarQuery\barquery137.exe');
RegSearch('HKLM', '', 'esp4AC3.tmp');
SaveLog(GetAVZDirectory + 'search.log');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- файл [B]search.log[/B] из папки AVZ прикрепите к сообщению

Карантин:
Файл сохранён как 100529_114813_quarantine_4c00c6bd50289.zip
Размер файла 5828
MD5 6347d0fb7e7b5efc82c3100bf89393ee
Логи:
[ATTACH]241884[/ATTACH]

[ATTACH]241885[/ATTACH]

[ATTACH]241886[/ATTACH]

virusinfo_syscheck.zip - старый, новый прикрепите

[ATTACH]241887[/ATTACH]
только что ещё раз сделал!

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\C9BCE068');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\C9BCE068');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Control\Print\Providers\C9BCE068');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\C9BCE068');
DeleteFile('C:\WINDOWS\TEMP\esp4AC3.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[ATTACH]241892[/ATTACH]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\Tasks\security.job');
DeleteFile('C:\WINDOWS\system32\ip.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[ATTACH]241905[/ATTACH]