-
Junior Member
- Вес репутации
- 54
Блокировка запуска AVZ и HiJack в любых режимах...
Сложная сложилась ситуация. Вкратце такие симптомы: при полной загрузке WinXP идет обращение к диску А3,5", свойства инет обозревателя отключены , пишет "не прав админа", AVZ после запуска через 2-3 сек выгружаеться, Hijack тоже, загрузился только CuteIt проверка показала вирусов нет, кое как смог запустить полиморфный AVZ, проверил им вирусов нет, сделал им же "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". После перезагрузки как написано в правилах, больше запустить никакой из вариаций AVZ не удалось, высылаю какие есть логи.
Проверка LiveCD от DrWeb ни дала результатов. Если можно что-нибудь сделать, жду ответов. Заранее спасибо.
Последний раз редактировалось Rene-gad; 18.08.2010 в 13:30.
Причина: карантин удалён
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Добавлено через 2 минуты
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\fgmanp.exe','');
QuarantineFile('C:\WINDOWS\system32\324b330f.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\324b330f.exe');
DeleteFile('C:\WINDOWS\system32\fgmanp.exe');
QuarantineFile('C:\WINDOWS\system32\karna.dat','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Последний раз редактировалось Rene-gad; 18.08.2010 в 13:31.
Причина: карантин удалён и закачан
-
-
Junior Member
- Вес репутации
- 54
Высылаю логи.
Огромное спасибо за оперативность и решение проблемы. Все помогло. С незапусканием AVZ пришлось помучатся поискать способы запуска его, запустился только после открытия нескольких инет эксплореров, запуском диспетчера задач, выбором процесса эксплорер и завершить процесс, далее эксплорер подвисал , но при этом AVZ начинал запускатся. Еще раз спасибо!
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('srv.exe','');
DeleteService('RemoteRegistrySSDPSRV');
DeleteFile('srv.exe');
BC_DeleteSvc('RemoteRegistrySSDPSRV');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winbg73.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windh15.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wingl15.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winhm84.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winkp83.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winlq05.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winpu73.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winvb16.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\network\Winbg73.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\network\Windh15.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wingl15.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\network\Winhm84.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\network\Winkp83.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\network\Winlq05.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\network\Winpu73.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\network\Winvb16.sys');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\wm');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 54
Высылаю логи.
При отправки нового карантина пишет "
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
".
-
файл C:\Program Files\Common Files\keylog.txt удалите вручную
-
-
Junior Member
- Вес репутации
- 54
Сделано.
Спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cbh ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
- c:\\windows\\system32\\fgmanp.exe - Backdoor.Win32.Shiz.tq ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Konar-B [Trj] )
- c:\\windows\\system32\\324b330f.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.428208, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
-