-
Junior Member
- Вес репутации
- 57
Разблокировать реестр.
ОС Win XP SP3, компьютер был заражен вирусами, которые удалось убрать только использую LiveCD , сейчас все вроде чисто, но осталось одна проблема - невозможно вносить изменения в реестр.!!!!
Regedit нормально запускается, но после внесения изменений выдает отказ в доступе.
В реестре не было ветки
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System] "DisableRegistryTools"=dword:00000000
Я ее добавил использую LiveCD, но это не помогло.
Использовать gpedit.msc для внесения изменений в > PREVENT ACCESS TO REGISTRY EDITING TOOLS не имеет смысла т.к. Regedit нормально запускается.
AVZ ничего не находит, установить новый антивирус не удается, пишет у вас нет достаточно прав ( Естественно т.к. нельзя изменить реестр).
Может, кто подскажет, как можно разблокировать реестр после вирусной атаки, буду очень признателен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Каков результат?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Большое спасибо, обязательно проверю и отпишу.
Это будет в понедельник т.к. машина на работе.
-
Junior Member
- Вес репутации
- 57
Сообщение от
thyrex
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Каков результат?
Перед выполнением скрипта, я проверил значение BDEADF00-C265-11D0-BCED-00A0C90AB50F в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\NonEnum оно равно 1 так , что выполнять скрипт небыло надобности, но я для спортивного интереса попробовал выполнение скрипта с заменой зночения 1 на 0 и после перегрузки оказалось, что в реестр никаких изменений не внесено, следовательно редактирование реестра недоступно даже для при выполнении скрипта AVZ. Изменения в реестр, по прежнему, можно вносить только загрузившись с Live CD.
Пока проблему решить не удается жду помощи.
-
Сделайте логи по правилам.
I am not young enough to know everything...
-
-
Сообщение от
Aleksandr49
Перед выполнением скрипта, я проверил значение BDEADF00-C265-11D0-BCED-00A0C90AB50F в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\NonEnum оно равно 1 так , что выполнять скрипт небыло надобности, но я для спортивного интереса попробовал выполнение скрипта с заменой зночения 1 на 0
Самостоятельно вносить измения в скрипт не стоит, хелпер не просто так добавил эту команду, это запись в реестре нужна в комплексе (точней из-за) применения других команд в скрипте.
Сделайте логи по правилам раздела Важно: Правила! Читать перед запросом о помощи!, а то так гадать что происходит ...
Последний раз редактировалось regist; 27.02.2011 в 19:39.
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
Bratez
Сделайте логи .
Vot Logi
Последний раз редактировалось Bratez; 28.02.2011 в 13:45.
Причина: virusinfo_cure.zip - карантин, в теме неуместен
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('dwwinxp.exe','');
QuarantineFile('C:\WINDOWS\system32\winjpg.jpg','');
QuarantineFile('C:\WINDOWS\system32\winxp.exe','');
BC_ImportAll;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=98562).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Разблокировать реестр.
выполнил скрипт вот результат
на первый взгляд ничего не изменилось.
В карантине файлов нет так как я их давно удалил, а это остались только записи в реестре.
при выполнении скрипта :
1 AVZ Guard выдает AVZ Guard error: C0000061
2 в реестр никаких изменений не вносит.
по моему, это можно сделать загрузившись с Live CD
Последний раз редактировалось Aleksandr49; 28.02.2011 в 22:28.
-
Junior Member
- Вес репутации
- 57
Мне подсказали, что AVZ Guard error: C0000061 означает, что AVZ не от администратора запущен.
Теперь мне стало ясно, возможно вирус, который был в системе, изменил параметры администратора и по этой причине я не могу вносить изменения в реестр.
Других пользователей с админскими правами нет, напрашивается вопрос: как мне восстановить права администратора.
-
Сообщение от
Aleksandr49
Мне подсказали, что AVZ Guard error: C0000061 означает, что AVZ не от администратора запущен.
Действительно, по логу видно, что AVZ работает без прав администратора.
Поэтому и изменений от выполнения скрипта нет.
Сообщение от
Aleksandr49
Других пользователей с админскими правами нет
А встроенная учётка Администратор?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Проблему решил
Всем спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winjpg.jpg - Worm.VBS.Autorun.eh ( BitDefender: Trojan.VBS.Agent.AS, AVAST4: VBS:AutoRun-T [Wrm] )
-