Очередной autorun. Неубиваемый

[Дина]

Не удается удалить autorun.exe и autorun.inf с флешки. Система ведет себя странно.

Cure It! после запуска вылетает с ошибкой. Avz не запускается с сообщением об Access violation.

Не могу с ним справится, помогите, пожалуйста! :D

Логи тех программ, которые согласились работать:

RSIT rsit.zip и IceSword IceSword.zip

IceSword.zip

rsit.zip

[миднайт]

Сканирование Cure It делали в безопасном режиме?

Попробуйте сделать лог полиморфным AVZ, взять можно отсюда(файл game.pif)

http://ifolder.ru/12469206

[Дина]

В безопасном режиме вчера загрузиться не удалось, комп сам перезагружался.

Такой AVZ не грузится с той же ошибкой...

Сейчас попробую в безопасном загрузиться

Не грузится он в безопасном режиме. При загрузке безопасного режима он вроде начинает "пересчитывать" драйвера? Во всяком случае внизу черного экрана мелькают расширения *.sys. И вот на одном из них комп уходит в перезагрузку.

[миднайт]

Попоробуйте переименовать game.pif в что нибудь типа 123.com . Утилита gmer тоже не запускается, даже со случайным именем? В таком случае сделайте проверку сначала с live cd http://www.freedrweb.com/livecd

[Дина]

AVZ ни под каким видом не запускается. С LiveCD вчера полдня проверяла комп - ничего не найдено.

Вот подробности моих проблем:

Windows XP Home Ed. SP2. В системе установлена Avira, стоял Spybot S&D.

Позавчера мне в квипе прислали файл, в процессе его получения этот Spybot ругнулся на svchost, назвал какой-то вирус и доложил, что деактивировал процесс.

Не придав этому значения, доработала до конца дня, благополучно выключила комп.

На следующий день не смогла его включить. Не загружался Explorer.exe. Дальше была куча разных действий и загрузиться все-таки удалось. С помощью AVZ провела восстановление защищенных системных файлов Windows.

А чуть позже увидела на флешке autorun.exe и autorun.inf. Пыталась их удалить с помощью anti_autorun.exe - они опять появляются...

И еще - у меня инет через впн, так вот в папке "Сетевые" подключения" это подключение выглядит как скрытый системный файл - полупрозрачная иконка.

Gmer работает, чуть позже выложу лог.

Спасибо! :)

[Дина]

Лог Gmer gmer.log

gmer.log

[greenman]

Можно попробовать запустить AVZ с ключем ag=y прямо из меню Пуск Windows

К примеру, если AVZ переименован в games.pif и лежит в папке games на диске С, то строка запуска выглядит так:

C:\games\games.pif ag=y

[Дина]

Greenman, спасибо, но бесполезно.

Точно такая же реакция

А еще у меня перестал работать квип, устанавливала новый - все равно не работает...

[akoK]

Попробуйте эту версию AVZ

Пофиксить в HijackThis следующие строчки

 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

[Дина]

Переименование AVZ не помогает - мне это уже тут несколько раз предлагали. Не работает AVZ.

Не подскажете, где почитать подробнее про "пофиксить в в HijackThis"?

Уже нашла!

[akoK]

Дина: это полиморфная версия AVZ. Она идет одним файлом и предназначена для таких ситуаций.

[Дина]

Дина: это полиморфная версия AVZ. Она идет одним файлом и предназначена для таких ситуаций.

Я понимаю, но она не запускается. Хотите, скриншот покажу?

[Дина]

Вот:

Каждый раз, когда мне предлагали новый вид AVZ, я его запускала и получала такой результат

[миднайт]

Хмм..HiJackThis запускается? Запись пофиксили? Повторите лог HiJackThis.

[akoK]

Выполняем. Если не запустилось пропустите шаг.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее можно прочитать в руководстве