Показано с 1 по 14 из 14.

После лечения остплись неудаляемые ветки реестра (заявка № 51104)

  1. #1
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    16
    Вес репутации
    27

    Exclamation После лечения остплись неудаляемые ветки реестра

    1. Сильно завирусованная машина последовательно пролечена LiveCD Dr.Web (ибо ни одна программа не запускалась из-за подмененного проводника), CureIt под safemode и Malwarebytes уже в обычном режиме. С помощью AVZ>Файл>Мастер поиска и устранения проблем отключена автозагрузка с дисков и сменных носителей и пофиксены несколько других уязвимостей. Ей же проведено сканирование и лечение/удаление остающихся вирей. Автовосстановление отключено, права администратора но при попытке доступа к реестру выскакивает окно "Доступ к реестру заблокирован администратором" диспетчер задач вызвать невозможно. Malwarebytes пишет что проблема в этих ветках реестра
    Заражено параметров реестра:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

    После удаления оных и перезагрузки они появляются вновь.

    Обязательные логи прилагаю.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, запустите только AVZ и Internet Explorer.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\drivers\chvgrm.exe');
     TerminateProcessByName('c:\windows\system32\drivers\pwds.exe');
     TerminateProcessByName('c:\windows\system32\drivers\prgds.exe');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\qzxlib.dll','');
     QuarantineFile('digeste.dll','');
     QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
     QuarantineFile('c:\abs.exe','');
     QuarantineFile('C:\WINDOWS\system32\strap.exe','');
     QuarantineFile('C:\WINDOWS\msauc.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\uumudoewhqphes.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\CDAC11BA.EXE','');
     QuarantineFile('C:\WINDOWS\system32\RegSrvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\lgsnd_filter.sys','');
     QuarantineFile('c:\windows\system32\drivers\pwds.exe','');
     QuarantineFile('c:\windows\system32\drivers\prgds.exe','');
     QuarantineFile('c:\windows\system32\drivers\chvgrm.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-484763869-1708537768-854245398-1004\Dc410.exe','');
     DelBHO('0C4683DC-2062-4E57-84B7-11100267535D');
     DeleteFile('C:\RECYCLER\S-1-5-21-484763869-1708537768-854245398-1004\Dc410.exe');
     DeleteFile('c:\windows\system32\drivers\chvgrm.exe');
     DeleteFile('c:\windows\system32\drivers\prgds.exe');
     DeleteFile('c:\windows\system32\drivers\pwds.exe');
     DeleteFile('C:\WINDOWS\msauc.exe');
     DeleteFile('c:\abs.exe');
     DeleteFile('digeste.dll');
     DeleteFile('c:\windows\system32\digeste.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\qzxlib.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(11);
    ExecuteRepair(16);
    ExecuteRepair(17);
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
    Сделайте новые логи по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    16
    Вес репутации
    27
    Карантин выслан.
    Логи прилагаю.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     BC_DeleteSvc('nlxektme');
     DeleteFile('C:\WINDOWS\system32\drivers\uumudoewhqphes.sys');
    ExecuteSysClean;
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Что с проблемами?

  6. #5
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    16
    Вес репутации
    27
    Реестр и диспетчер задач разблокированы, CureIt и Malwarebites проходят в полном режиме без алертов, из видимых мне проблем только долгая загрузка проводника - примерно 15 секунд. Последний скрипт выполнен, логи нужны еще?

    Добавлено через 11 минут

    Цитата Сообщение от Lexus Посмотреть сообщение
    Реестр и диспетчер задач разблокированы, CureIt и Malwarebites проходят в полном режиме без алертов, из видимых мне проблем только долгая загрузка проводника - примерно 15 секунд. Последний скрипт выполнен, логи нужны еще?
    Выделенное пофиксено после выполнения последнего скрипта, сенькс. Еще один момент условно беспокоящий меня. При запуске стандартного скрипта AVZ №2 Mawarebytes беспокоится о файле С:\\windows\system32\drivers\utezmtyx.sys - якобы это опасный процесс пытающийся стартовать и вообще RooKit.Bagle. Это вредонос или обычный конфликт двух разных антивирусов?

    на всякий пожарный...
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 05.08.2009 в 20:07.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Это от AVZ
    Выполните скрипт
    Код:
    begin
     SetAVZPMStatus(false);
     ExecuteStdScr(6);
     rebootwindows(true);
    end.

  8. #7
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    16
    Вес репутации
    27
    Скрипт выполнен. А что он делает?
    Последний раз редактировалось Lexus; 02.08.2009 в 19:15.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Lexus Посмотреть сообщение
    А что он делает?
    Удалил Драйвер АВЗ. Он помог или нет? Логи, кстати, никто не просил. Уберите, плиз

  10. #9
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    16
    Вес репутации
    27
    Логи убраны. Алерт остался. Может этот драйвер просто внести в исключения Malwarebites?

    Господа, ответьте плиз. Вылеченную машину уже можно отдавать хозяину или как?
    Последний раз редактировалось Rene-gad; 05.08.2009 в 20:05.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Lexus Посмотреть сообщение
    Может этот драйвер просто внести в исключения Malwarebites?
    Упростим задачу: Удалите Малваребайтс нафик

    Добавлено через 1 минуту

    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8
    - Обновите JavaRE
    - Обновите Acrobat Reader
    Последний раз редактировалось Rene-gad; 05.08.2009 в 20:06. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    16
    Вес репутации
    27
    Сделано. Плюс установлен Dr.Web с последними обновлениями. Малваребайтс живет еще на нескольких машинах рекомендуете удалить и там? Они у меня в паре с доктором хорошо от зловредов отбиваются. Или это мне просто кажется? :-)

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Малваребайтс можете оставить, как сканнер по требованию. Но не как монитор

  14. #13
    Junior Member Репутация
    Регистрация
    31.07.2009
    Сообщений
    16
    Вес репутации
    27
    Ну на домашней он у меня в принципе не может установится, а на остальных последую совету. Спасибо большое за помощь!

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,555
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\recycler\s-1-5-21-484763869-1708537768-854245398-1004\dc410.exe - Email-Worm.Win32.Joleee.cxx ( DrWEB: Trojan.Spambot.4613 )


  • Уважаемый(ая) Lexus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 25.12.2010, 00:00
    2. Ответов: 3
      Последнее сообщение: 07.09.2010, 18:20
    3. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:54
    4. Ответов: 2
      Последнее сообщение: 30.10.2007, 13:48
    5. Неудаляемые ключи реестра ХР
      От luxemburg в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 13.01.2006, 11:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00973 seconds with 23 queries