Помогите добить aekgoprn

**Dexer** · 22.12.2009, 08:45

Помогите, пожалуйста, добить aekgoprn. Он вроде успешно удаляется, но при подключении к сети снова появляется и не позволяет запустить ни Opera, ни IE. Банера нет.
Get запускал. Не помог.
Логи прилагаются.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 22.12.2009, 09:49

профиксить:

Код:

F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
O4 - HKLM\..\Policies\Explorer\Run: []

Выполнить скрипт:

Код:

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

Повторить станд скрипт №2

**Dexer** · 22.12.2009, 21:44

Пофиксил.
Выполнил.
Повторил.

**snifer67** · 22.12.2009, 21:52

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

**Dexer** · 22.12.2009, 23:14

Готово.
Насколько я понимаю, в C:\WINDOWS\System32\ не должно быть aekgoprn.dll - я создал там папку aekgoprn.dll. Пока она цела и жива вряд ли там же будет файл с таким именем. ИМХО.

**thyrex** · 23.12.2009, 00:10

1. Скачайте утилиту во вложении и запустите. Компьютер перезагрузится

2. Если в папке с утилитой появился файл drv.sys, запакуйте его и прикрепите к своему сообщению

Сделайте новый лог

**Dexer** · 23.12.2009, 08:45

Скачал, запустил.
Файл не появился.
Выкладываю новый лог.
Кстати, во время всех этих операций сетевой шнур (к инету) отключен.

**thyrex** · 23.12.2009, 12:24

Попробуйте эту утилиту. Утилиты запускаете от имени Администратора по правой кнопке мыши?

**Dexer** · 23.12.2009, 22:11

Упс.
Нет, конечно.
Теперь появился drv.sys

**PavelA** · 23.12.2009, 22:16

usbhub.sys надо заменить с дистрибутива.

**Dexer** · 23.12.2009, 22:19

А если дистрибутива нет (виста предустановленная), можно просто из инета скачать и заменить файл?

**PavelA** · 23.12.2009, 22:29

Можно, но если это подходящей версии.
Он отвечает за подключение флешек.

**Dexer** · 27.12.2009, 02:23

usbhub.sys заменил.
Теперь при запуске get.exe файлик (drv.sys) не создается.
Прикладываю свежий лог.

**thyrex** · 27.12.2009, 11:31

Пофиксить в HiJack

Код:

F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,

Сделать новый лог HiJack

**Dexer** · 27.12.2009, 11:42

Готово.
Попробовал подключить интернет-кабель - браузеры запускаются!
Правда, один глюк - исчезают иконки с рабочего стола.
Изначально в процессе загрузки они появляются, но после полной загрузки исчезают.
Галочка Раб.стол->Вид->Отображать значки рабочего стола - включена.
После ее сброса и повторной установки значки появляются, но после перезагрузки все повторяется.

В реестре прописал
---------------------
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\HideDesktopIcons]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\HideDesktopIcons\ClassicStartMe nu]
"{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000000
---------------------
Результат тот же.

**thyrex** · 27.12.2009, 12:08

Пофиксите еще это

Код:

O4 - HKLM\..\Policies\Explorer\Run: []

Больше ничего плохого

P.S. Обращаю внимание, что эти фиксы просил сделать еще Павел в сообщении №2. Будьте, пожалуйста, внимательны

**Dexer** · 27.12.2009, 12:42

Огромное Спасибо!
Фиксы, указанные в сообщении 2, я сразу же выполнил.
Если эти строки есть в крайнем логе, значит они либо не пофиксились, либо появились вновь.