T701721200 на номер 8353

[compworld]

Вылез банер с такой просьбой...при запуске AVZ...компьютер начинает сам перезагружаться (завершение работы и т.д.)...AVPTool не хочет устанавливаться....как то подобный банер уже на одном компьютере был...решилось разблокировкой банера! ПОдсказали код...не могли бы подсказать какой код ввести? ЧТобы сделать ЛОги! Спасибо!

[thyrex]

1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

параметр

Код:

AppInit_DLLs

Содержимое этого параметра напишите в своем сообщении

[compworld]

он пустой!

[thyrex]

Зайдите через Администрирование и посмотрите еще раз

[compworld]

А подскажите где скачать ERD Commander...

[thyrex]

А подскажите где скачать ERD Commander...

Так Вы смотрели параметр через редактор реестра??? Неудивительно, что ничего не обнаружили

http://www.google.com.by/search?clie...utf-8&oe=utf-8

[compworld]

вот...разобрался...строка имеет вид:
C:\windows\system32\gpedit.msc:fVPzYD

[thyrex]

Выполните с ERD Commander:
1. Переименуйте указанный файл
2. Очистите значение параметра AppInit_DLLs
3. Перезагрузитесь, загрузитесь обычным образом и пробуйте выполнять правила

[compworld]

не понятен первый пункт! Какой файл и во что переименовывать? Где его искать?

[compworld]

Получилось сделать логи посли очистки значения параметра AppInit_DLLs...вот логи:
Вложение 241866

Вложение 241867

Вложение 241868

[V_Bond]

пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\DlvBvoI.exe,\\?\globalroot\systemroot\system32\aJHdI7a.exe,\\?\globalroot\systemroot\system32\UCVc7SX.exe,\\?\globalroot\systemroot\system32\taM0rfR.exe,

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF6DFC.tmp','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF88A2.tmp','');
 QuarantineFile('C:\WINDOWS\Help\conf.chm:fVPzYD:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\ip.bat','');
 QuarantineFile('C:\WINDOWS\TEMP\esp4AC3.tmp','');
 QuarantineFile('\\?\globalroot\systemroot\system32\taM0rfR.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Almeza\StaffLogger\sysdrvmon.exe','');
 DeleteService('Netprotocol');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe','');
 DeleteService('msupdate');
 QuarantineFile('msupdate.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\BarQuery\barquery137.exe','');
 DeleteFile('msupdate.sys');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\taM0rfR.exe');
 DeleteFile('C:\WINDOWS\TEMP\esp4AC3.tmp');
 DeleteFile('C:\WINDOWS\Help\conf.chm:fVPzYD:$DATA');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DFFFA6.tmp');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF88A2.tmp');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF6DFC.tmp');
ExecuteRepair(20);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[compworld]

Карантин:
Файл сохранён как 100529_110936_virus_4c00bdb0f27df.zip
Размер файла 1075632
MD5 a285621b1fff83e24b6bdda380b32bb9
Логи:
Вложение 241876

Вложение 241877

Вложение 241878

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('\\?\globalroot\systemroot\system32\taM0rfR.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\UCVc7SX.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\aJHdI7a.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\DlvBvoI.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\DlvBvoI.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\aJHdI7a.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\UCVc7SX.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\taM0rfR.exe');
 QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
 QuarantineFile('C:\WINDOWS\system32\ip.bat','');
 DeleteService('BarQuery Service');
 QuarantineFile('C:\Program Files\BarQuery\barquery.dll','');
 QuarantineFile('c:\documents and settings\all users\application data\barquery\barquery137.exe','');
 TerminateProcessByName('c:\documents and settings\all users\application data\barquery\barquery137.exe');
 QuarantineFile('c:\program files\barquery\barquery.exe','');
 TerminateProcessByName('c:\program files\barquery\barquery.exe');
 DeleteFile('c:\program files\barquery\barquery.exe');
 DeleteFile('c:\documents and settings\all users\application data\barquery\barquery137.exe');
 DeleteFile('C:\Program Files\BarQuery\barquery.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\BarQuery\barquery137.exe');
 RegSearch('HKLM', '', 'esp4AC3.tmp');
 SaveLog(GetAVZDirectory + 'search.log');
 QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 DeleteFile('C:\WINDOWS\system32\mssfc.dll');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteRepair(17);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- файл search.log из папки AVZ прикрепите к сообщению

[compworld]

Карантин:
Файл сохранён как 100529_114813_quarantine_4c00c6bd50289.zip
Размер файла 5828
MD5 6347d0fb7e7b5efc82c3100bf89393ee
Логи:
Вложение 241884

Вложение 241885

Вложение 241886

[polword]

virusinfo_syscheck.zip - старый, новый прикрепите

[compworld]

Вложение 241887
только что ещё раз сделал!

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\C9BCE068');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\C9BCE068');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Control\Print\Providers\C9BCE068');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\C9BCE068');
 DeleteFile('C:\WINDOWS\TEMP\esp4AC3.tmp');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[compworld]

Вложение 241892

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
  DeleteFile('C:\WINDOWS\Tasks\security.job');
 DeleteFile('C:\WINDOWS\system32\ip.bat');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[compworld]

Вложение 241905