-
Junior Member
- Вес репутации
- 53
Cmd, regedit, taskmng и прочие не запускаются
Доброго времени суток!
Столкнулся с вирусом в системе Windows XP: первоночально я заметил отказ Диспетчера задач (при нажатии трёх заветных клавиш ничего не происходило), но решил, что этот трабл пройдёт с перезагрузкой. Но перезагрузка естественно никак не помогла. Полез в командную строку - она не запустилась, проверил на работоспособность реестр - он тоже не запустился. Восстановление системы точно не помню, что именно сказало (что-то про групповую политику вроде), и естественно тоже не запустилось.
В итоге я имею систему-овощ.
И ещё:
1. Убит антивирус (Касперский 8), все попытки к нему добраться увенчались провалом - explorer нагло перезагружался, когда я открывал папку Касперского.
2. При попытке оживить систему несколько раз выдавалась ошибка:
Rundll32.exe - неверный образ
C:\Temp\ppgdly.dll
(там у меня хранятся переменные среды) не является образом программы для Windows NT
После того как я нажимал "ОК", этот ppgdly.dll автоматически стирался из той директории (Были кстати ещё ошибки такого же рода, но уже с други названием dll'ок. Их названия я увы не записал).
3. Еxplorer постоянно перезагружается (а в безопасном режиме перезагружается полностью вся система), когда я произвожу какие либо действия в системе: копирую файлы, гуглю траблу, захожу в директории.
У меня на втором локальном диске стоит "чистая" ОС, так что всю диагностику я производил там, так как заражённая ОС не даёт работать программам. Надеюсь это не повлияло на результаты диагностики. Жду Вашей помощи, пожалуйста!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
UP! Ну же, помогите пожалуйста, пару дней до экзамена осталось, а система рабочей нужна.
-
Логи вашей чистой ОС почти бесполезны, ибо это ее логи.
Но кое-что в них все же отобразилось, и это хорошо
Из чистой ОС выполните скрипт в AVZ:
Код:
begin
QuarantineFile('C:\WINDOWS\Help\sapicpl.hlp:GhtTED:$DATA','');
DeleteFile('C:\WINDOWS\Help\sapicpl.hlp:GhtTED:$DATA');
QuarantineFile('C:\WINDOWS\Help\sapicpl.hlp:GhtTED','');
DeleteFile('C:\WINDOWS\Help\sapicpl.hlp:GhtTED');
end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67657).
Сделайте логи в зараженной ОС, теперь это должно получиться.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
В чистой ОС провёл антивирусом скан - нашёл Trojan-Downloader.Win32.Piker.bte, произвёл лечение.
Теперь всё стало нормально, ура!
Скрипт выполнил, карантин загрузил.
Какие логи Вам нужны, что бы проверить не остался ли вирус в системе?
-
Сделайте логи AVZ и HijackThis, как написано в разделе Диагностика правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\Ilya\APPLIC~1\FieryAds\FieryAds.dll (file missing)
O2 - BHO: Доступ к платному контенту Aldea v1.5.2 - {B8F88615-A49E-4443-A26F-E97379BE1B1A} - C:\DOCUME~1\Ilya\APPLIC~1\Aldea\Aldea.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Help\sapicpl.hlp:GhtTED','');
DeleteFile('C:\WINDOWS\Help\sapicpl.hlp:GhtTED');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67657).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Пофиксил в HijackThis.
Выполнил скрипт в AVZ.
После перезагрузки Касперский нашёл Trojan-Downloader.Win32.Piker.bte в
С:\system volume information\_restore{5378a60b-a642-4041-99ec-7967e05a1d50}\rp6\a0000268.dll
С:\system volume information\_restore{5378a60b-a642-4041-99ec-7967e05a1d50}\rp6\a0000269.dll
Эти объекты удалил.
Загрузил новые логи, отослал карантин.
Последний раз редактировалось XEPMETKOB; 19.01.2010 в 21:20.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\help\sapicpl.hlp:ghtted:$data - Trojan-Downloader.Win32.Piker.bte ( DrWEB: Trojan.Packed.19647, AVAST4: Win32:Rootkit-gen [Rtk] )
-