вирус / проблема с диагностикой

[Comb]

вирус блокирует AVZ AVPTool HiJack ,переделанный HiJack (другой формат). помогите пожалуйста
с флешки пробывал - такая же история
(на перезагрузку комп не уходит, только перезапускает пользователя...)

[olejah]

Заходим в редактор реестра и ищем -

ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

- Содержимое этого параметра выписываем сюда.

[Comb]

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\gmrhoqe.exe,

это содержимое?

[olejah]

Ага, оно самое. Теперь -

Вот этого красавца - C:\WINDOWS\system 32\gmrhoqe.exe находим вручную и убиваем, скорее всего файл скрытый.

И исправляем содержимое параметра userinit, оставляя только - C:\WINDOWS\system32\userinit.exe, (включая запятую)

Пробуем запустить АВЗ.

[Comb]

gmrhoqe.exe - удалил.
userinit.exe - не смог изменить (меняю, захожу снова там все по старому) (запятую не забыл )
AVZ не запускается

[olejah]

1. Переименуйте папку AVZ, задайте ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.

2. Переименуйте avz.exe в что-то типа test.exe, game.pif, program.com

3. Запустите AVZ с ключом: avz.exe ag=y

[Comb]

как запустить AVZ с ключом?

[olejah]

Пуск - Выполнить - Там вводим "полный путь к файлу avz.exe, включая сам файл", через пробел пишем ag=y. Пример -

"C:\Documents and Settings\Username\Рабочий стол\avz4\avz.exe" ag=y

[Comb]

не запустился

Добавлено через 2 минуты

запустил с am=y ag=y
все ок?

[olejah]

Пробуем снять логи.

[Comb]

логи

[olejah]

Пофиксите в hijackthis -

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gmrhoqe.exe,
O1 - Hosts: 69.10.53.230 odnoklassniki.ru
O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru
O1 - Hosts: 69.10.53.230 vkontakte.ru
O1 - Hosts: 69.10.53.230 www.vkontakte.ru
O1 - Hosts: 69.10.53.230 vk.com
O1 - Hosts: 69.10.53.230 www.vk.com

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteRepair(11);
 ExecuteRepair(17);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Скачайте последнюю версию АВЗ

- Обновите базы

- Переделайте логи

[Comb]

скрипт сделан
фикс сделан
логи предоставляю с AVZ последней версией без обновления баз (при обновлении выскакивает ошибка, как на старом авз, так и на новом)

[olejah]

Переделайте логи в нормальном режиме.

[Comb]

логи из нормального режима

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\bdmpegv.dll','');
 QuarantineFile('C:\go3.pif','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(20);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Какие браузеры кроме ИЕ установлены?

[Comb]

K-Meleon

[olejah]

Где quarantine.zip?