Борьба с автозапуском новыми методами

[миднайт]

В обычном режиме можете загрузиться и сделать лог AVZ virusinfo_syscure.zip ?

[robo]

del

[robo]

с проблемой пока все по прежнему. обнаружил что если создать новую учетную запись то можно с неё один раз открыть антивирус. просканировал систему новым Dr.Web CureIT, он нашел три вируса, я их удалил, проблема осталась.

[миднайт]

Отключите программы защиты.
В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('%_SYS_MOD_PATH%.dll','');
 QuarantineFile('%_SYS_MOD_PATH%.exe','');
BC_qrSvc('atapi');
QuarantineFile( RegKeyStrParamRead( 'HKLM', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{e84fda7c-1d6a-45f6-b725-cb260c236066}'),'');
QuarantineFile( RegKeyStrParamRead( 'HKLM', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}'),'');
QuarantineFile( RegKeyStrParamRead( 'HKLM', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}'),'');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

[robo]

Все сделал. Карантин выслал.
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен.
Может я что-то не так делаю?
Кстати первое окошко теперь выскакивает другое: winlogon.exe - Ошибка приложения.
Инструкция по адресу "0x7c912b0d" обратилась к памяти по адресу "0x01dc0000". Память не может быть "read"
В остальном все как раньше.

[миднайт]

Поищите файл *SYS_MOD_PATH*.* по маске с помощью avz. Если что-то найдется, пришлите как карантин согласно правил.

[robo]

к сожалению ничего не нашлось.
сегодня заходил друг, посмотрел, сказал что проблема может быть с вирусом Issas.exe
пытался сделать бесплатное он-лайн сканирование от Панды, не получилось.
уже не знаю что делать. может логи повторить?

[robo]

bump =(

Добавлено через 3 часа 1 минуту

winlogon.exe - Ошибка приложения.
Инструкция по адресу "0x7c912b0d" обратилась к памяти по адресу "0x01dc0000". Память не может быть "read"
может быть проблема в этом? с помощью авз нашел три штуки winlogon.

[миднайт]

Добавьте их в карантин avz и пришлите по правилам.

[robo]

добавил их в карантин, карантин выслал.
те 2 программы что были не в папке windows я удалил, проблема осталась.

[миднайт]

Карантин не получен. Загрузите по красной ссылке вверху темы.

[robo]

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен

Не понимаю, в чем проблема? и так каждый раз

Добавлено через 6 часов 11 минут

bump

[миднайт]

Вы загружаете zip-архив с паролем virus? Он точно не пустой?

[robo]

не понимаю в чем дело: через авз => просмотр карантина показывает 13 файлов без названий, общий вес 0.0кб, в папке карантин все файлы с названиями и весом.

[миднайт]

Заархивируйте эти файлы вручную с паролем virus и загрузите.

[robo]

Файл сохранён как 110110_214911_virus_4d2b54a72f49f.zip
Размер файла 112079
MD5 2ec1619850010a6cf74cc7c898c83643
спасибо, все получилось.

[миднайт]

Файлы чистые.
Удалите комбофикс.
Для деинсталяции ComboFix необходимо выполнить:
Пуск => Выполнить в окне наберите команду Combofix /u (обязательно с пробелом между х и /), нажмите "ОК"

[robo]

не даёт удалить, explorer.exe - обнаружена ошибка.

[robo]

может есть какие-то советы? я честно говоря уже отчаялся.

[polword]

- тут посмотрите