Вирус закрывает AVZ

@ryder · Регистрация: 05.01.2013

Author24 — интернет-сервис помощи студентам

Только скачал AWZ, и пытаюсь создать логи. AWZ выключается через пару секунд после запуска, что делать? Ещё куреит невозможно скачать, тормозит на 99% и так бесконечно. Как создать логи хотя бы в такой ситуации?

magirus · 05.01.2013, 15:38

попробуйте в безопасном режиме.

@ryder · 05.01.2013, 15:43 **[ТС]**

Сообщение от magirus

попробуйте в безопасном режиме.

Попробовал, и был удивлен. После того как я жму f8 и выбираю безопасный режим, пробегают снизу белые строчки текста и далее следует перезагрузка пк, и так по кругу. Запустило только обычную конфигурацию виндоус.

@shestale · 05.01.2013, 15:58

1. Переименовать папку AVZ, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
2. Переименовать avz.exe в что-то типа test.exe, game.pif, program.com

@ryder · 05.01.2013, 23:23 **[ТС]**

Вот все же смог сделать логи по краткой схеме.

@shestale · 06.01.2013, 11:01

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Сначала лечим sality по этой схеме - Как лечить файловый вирус (Web LiveCD + SalityKiller)
Пролечите систему с подключенными съемными накопителями, если такие имеються. Если останется хоть один зараженный файл - проблема не решится.
Только после этого качаем AVZ и RSIT заново и идем дальше:
___________________________________________________________

1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\docume~1\ryder\locals~1\temp\winrykrw.exe','');
 DeleteFile('c:\docume~1\ryder\locals~1\temp\winrykrw.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(10);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Пофиксите в HJT эти строки

Код

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

5. Скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Код

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\shareda ccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\shareda ccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessm gr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Opera\\opera.exe"="C:\\Program Files\\Opera\\opera.exe:*:Enabled:ipsec"
"D:\\RYDER\\SkypeSetup.exe"="D:\\RYDER\\SkypeSetup.exe:*:Ena bled:ipsec"
"C:\\Program Files\\VIA\\VIAudioi\\HDADeck\\HDeck.exe"="C:\\Program Files\\VIA\\VIAudioi\\HDADeck\\HDeck.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer.EXE:*:Ena bled:ipsec"
"C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe"="C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\userinit.exe"="C:\\WINDOWS\\system32 \\userinit.exe:*:Enabled:ipsec"

6. Внимание !!! База AVZ поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Сделайте новые логи AVZ и Rsit и прикрепите к сообщению.

7. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

8.

AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте

9. Смените все свои пароли на сервисах в интернете.

@shestale · 10.01.2013, 20:08

Ответа мы так и не дождемся?

@ryder 0 / 0 / 0 Регистрация: 05.01.2013 Сообщений: 3
		1
	Вирус закрывает AVZ 05.01.2013, 15:36. Показов 19648. Ответов 6 Метки нет (Все метки) Только скачал AWZ, и пытаюсь создать логи. AWZ выключается через пару секунд после запуска, что делать? Ещё куреит невозможно скачать, тормозит на 99% и так бесконечно. Как создать логи хотя бы в такой ситуации? 0

magirus Почетный модератор 28045 / 15778 / 982 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	05.01.2013, 15:38	2
	попробуйте в безопасном режиме. 0

@ryder 0 / 0 / 0 Регистрация: 05.01.2013 Сообщений: 3
	05.01.2013, 15:43 [ТС]	3
	Сообщение от magirus попробуйте в безопасном режиме. Попробовал, и был удивлен. После того как я жму f8 и выбираю безопасный режим, пробегают снизу белые строчки текста и далее следует перезагрузка пк, и так по кругу. Запустило только обычную конфигурацию виндоус. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	05.01.2013, 15:58	4
	1. Переименовать папку AVZ, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п. 2. Переименовать avz.exe в что-то типа test.exe, game.pif, program.com 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	06.01.2013, 11:01	6
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Сначала лечим sality по этой схеме - Как лечить файловый вирус (Web LiveCD + SalityKiller) Пролечите систему с подключенными съемными накопителями, если такие имеються. Если останется хоть один зараженный файл - проблема не решится. Только после этого качаем AVZ и RSIT заново и идем дальше: ___________________________________________________________ 1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('c:\docume~1\ryder\locals~1\temp\winrykrw.exe',''); DeleteFile('c:\docume~1\ryder\locals~1\temp\winrykrw.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); ExecuteRepair(10); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! 2. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме. 4. Пофиксите в HJT эти строки Код R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) 5. Скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр. Код Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\shareda ccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\shareda ccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe::Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessm gr.exe::enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\Opera\\opera.exe"="C:\\Program Files\\Opera\\opera.exe::Enabled:ipsec" "D:\\RYDER\\SkypeSetup.exe"="D:\\RYDER\\SkypeSetup.exe::Ena bled:ipsec" "C:\\Program Files\\VIA\\VIAudioi\\HDADeck\\HDeck.exe"="C:\\Program Files\\VIA\\VIAudioi\\HDADeck\\HDeck.exe::Enabled:ipsec" "C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer.EXE::Ena bled:ipsec" "C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe"="C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe::Enabled:ipsec" "C:\\WINDOWS\\system32\\userinit.exe"="C:\\WINDOWS\\system32 \\userinit.exe::Enabled:ipsec" 6. Внимание !!! База AVZ поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Сделайте новые логи AVZ и Rsit и прикрепите к сообщению. 7. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Программу не закрывайте и самостоятельно ни чего не удаляйте! 8. AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. Поиск не закрывайте 9. Смените все свои пароли на сервисах в интернете. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	10.01.2013, 20:08	7
	Ответа мы так и не дождемся? 0