Не запускается реестр, Ccleaner, AVZ и открывается сайт про игры

[Тимофей 1988]

Проблема очень схожа с http://forum.kasperskyclub.ru/index.php?showtopic=46273

 

Компьютер стал сам запускать браузер и открывать сайт bizigames.org при загрузке Windows. В msconfig нашелся процесс в Автозагрузке - "Операционная система Windows - cmd.exe /c start http://zenigameblinger.org&&exit" (скрин в атаче). Процесс отключил, сайт перестал открываться. Выяснилось что путь к этой команде в реестре я удалить не могу, потому что команда regedit перестала работать. AVZ, Ccleaner так же не запускаются. Переименовал AVZ, запустил, просканировал, он ничего не смог найти. Просканировал так же утилитой Dr.Web Cure it - нашел несколько "вредоносных" приложений, но я почти уверен что это не все. Просканировал последним Касперским - вообще ничего не нашел, 0. Установил утилиту Reg Organizer, она нашла ошибки, сделал много исправлений каких-то. Проверил путь к той команде запускать сайт - его уже не оказалось в реестре. Так же пробовал с помощью AVZ сделать восстановление работоспособности реестра. Не помогло. В итоге не работает реестр, Ccleaner, AVZ, хотя вроде бы все окей должно быть.

 

Выполнил скрипт в AVZ:

 

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;

QuarantineFile('C:\Users\Blackened\AppData\Roaming\Youtube Downloader HD\Reversed\steam.exe','');
QuarantineFile('C:\Users\Blackened\AppData\Roaming\Total War Rome 2\AdobeFlashPlayerUpdater.exe','');
QuarantineFile('C:\Users\Blackened\AppData\Roaming\Red Alert 3\AdCache\googleupd.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
DeleteFile('C:\Users\Blackened\AppData\Roaming\Red Alert 3\AdCache\googleupd.exe','32');
DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64');
DeleteFile('C:\Users\Blackened\AppData\Roaming\Total War Rome 2\AdobeFlashPlayerUpdater.exe','32');
DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayer-S-1-2-1298-9822','64');
DeleteFile('C:\Users\Blackened\AppData\Roaming\Youtube Downloader HD\Reversed\steam.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.

 

Компьютер перезагрузился.

 

 

Выполнил скрипт в AVZ:

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

 

quarantine.zip отправил по адресу newvirus@kaspersky.com

 

Получил ответ:

[KLAN-2982684047]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com"

[Mie]

Порядок оформления запроса о помощи

[Тимофей 1988]

Логи в атаче. Спасибо.

CollectionLog-2015.07.18-18.43.zip

[thyrex]

Выполните скрипт в AVZ

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Тимофей 1988]

Выполнил описанный выше скрипт в AVZ.

Логи в чате. Спасибо.

 

Сообщение от модератора Mark D. Pearlstone

Не прикрепляйте quarantine.zip на форум. Файл удалён.

CollectionLog-2015.07.19-16.54.zip

[thyrex]

Проблема решена?

[Тимофей 1988]

Сайт больше не открывается, т.к. данный процесс отключен в автозагрузках, реестр открывается/работает.

Но тем не менее удалить данный процесс из автозагрузок не получается.

[thyrex]

С помощью редактора реестра удалите ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD