# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Trojan.Win32.Agent.il (KAV), Trojan.Griven (DrWeb) - троян за 25 гривен :)

## Зайцев Олег

Сегодня наблюдается уже несколько обращений пострадавших от данного трояна - данный троян интересен тем, что не лечится антивирусами - удаление самого "зверя" недостаточно для восстановления работы системы. 
Сам "зверь" имеет размер 53777 байта, ничем не сжат и не зашифрован. В момент запуска копирует себя в системные папки:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
и прописывает себя в автозапуск при помощи стандартного ключа реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr  entVersion\Run
(причем в автозапуск приписывается оба файла)
Обе программы совершенно идентичны и отличаются только местоположением. Процесс отрабатывает и завершается (т.е. они не висят в процессе работы в памяти, что затрудняет обнаружение).
Деструктивное действие состоит в 
1. создании ряда ключей реестра, которые ограничивают действия пользователя (т.н.  Policies), наприемер блокируется закрытие окна проводника, нет доступа к многим настройкам, блокируется запуск RegEdit
2. Добавляет параметры WinLogon, выводящие при загрузке сообщение "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail [email protected] код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления..." с заголовком окна "DANGER"
3. Меняет ряд настроек IE (заголовок окна, стартовую страницу)
4. Меняет форматную строку, отвечающую за форматирование времени (в региональных настроках), что приводит к выводу вместо времени в программах (в том числе в SysTray) нецензурщины
5. Ставит атрибуты "скрытый", "системный" для Windows, Program Files (при этом делает это некорректно - папки ищутся на диске C:\), создает несколько посторонних папок, в частности "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"

*Лечение*
Методика лечения:
1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ
2. Пролечить системный диск (с обновлением троян будет найден и убит) - должно убиться минимум 2 файла в папке Windows. Файлы можно удалить вручную - это файлы
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
3. Запустить (не выходя из AVZ) восстановление системы AVZ (Файл -> Восстановление системы). Там отметить птичками все позиции
восстановления и нажать кнопку "Выполнить отмеченные операции"
4. Перезагрузить компьютер. Сообщение в загрузке должно пропасть,
блокировки вызова настроек и прочее должно восстановиться
5. Зайти любым менеджером диска (типа FAR) на системный диск и
5.1 Изменить атрибуты папок Windows и Program Files на нормальные (у
них задан атрибут "скрытый")
5.2 Удалить пустые папки "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"
6. Зайти в панель управления, там - в "Язык и региональные стандарты"
- и там на первой закладке переключитьс с русского скажем на
румынский и назад - это приведет к восстановлению региональных
настроек, в частности, форматной маски времени - после этого часы в трее и отображение времени в программах нормализуется.
----------
Известен второй вариант данного трояна - REG файл, выполняющий аналогичные по сути действия. В этом случае шаги лечения аналогичны, но на стадии 2 не будет указанных exe файлов.
----------
В текущей версии трояна он некорректно копирует свои exe в систему - он полагает, что система находится на c:\windows - при нахождении системы на другом диске троян только портит реестр, но файлы свои не копирует.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## WaterFish

По поводу KAV и Trojan.Win32.Agent.il

File: 	CodGen5.1.exe	
Status: 	
INFECTED/MALWARE 
MD5 	d2c48dfa762aec8e2ebdc9c6913d8ed3 	
Packers detected: S0M# 2.60	

Scanner results 
AntiVir Found nothing	
ArcaVir Found Trojan.Agent.Ht	
Avast Found Win32:Trojano-2351	
AVG Antivirus Found Agent.DD 	
BitDefender 	Found nothing
ClamAV Found nothing	
Dr.Web 	
Found Trojan.Griven 
F-Prot Antivirus Found Trojan.Griven	
Fortinet Found W32/Agent.HT-tr	
*Kaspersky Anti-Virus Found nothing* 
NOD32 Found Win32/KillFiles.NAB 	
Norman Virus Control Found nothing	
UNA 	Found nothing
VBA32 Found nothing 	


Тоже самое и на virustotal и на windows XP с кав 5
Почему так, интересно?

----------


## Geser

> По поводу KAV и Trojan.Win32.Agent.il
> 
> File: 	CodGen5.1.exe	
> Status: 	
> INFECTED/MALWARE 
> MD5 	d2c48dfa762aec8e2ebdc9c6913d8ed3 	
> Packers detected: S0M# 2.60	
> 
> Scanner results 
> ...


Похоже не знают они троянчик. Отправил им

----------


## WaterFish

..."из лаб. Касперского ответили - они добавили зверя в базы как Trojan.Win32.Agent.il."...

http://virusinfo.info/showthread.php?p=56390
Зайцев Олег 13-07, 04/10/05
 :Huh:

----------


## Зайцев Олег

> ..."из лаб. Касперского ответили - они добавили зверя в базы как Trojan.Win32.Agent.il."...
> 
> http://virusinfo.info/showthread.php?p=56390
> Зайцев Олег 13-07, 04/10/05


Я проверил реакцию в конце рабочего дня - в базах он не появился. Странно, т.к. подтверждение в письме мне дали однозначное и имя зверя присвоили...

----------


## WaterFish

Да похоже всей конторой заплатку шьют для cab'a :Smiley: 
Последнее daily-обновление на сайте от вчера 19:53 москвы

----------


## Swat

Здраствуйте (Зайцев Олег), СПАСИБО за инструкцию о том как правильно удалить эту дрянь с компика.Всё получилось - СПАСИБО :Smiley:  . Но у меня есть вопрос, какой ещё вред кроме того что побил реестр он приносит? Есть возможность того что через некоторое время он опять навредит? как удастоверится что его на машине нет? ВОстольном всё впорядке только у других прользователей не открывается меню пуск, кроме админа, может есть совет по исправлению проблемы - это случилось после заражения и обезвреживания, заранее благодарен Андрей. ответ по возможности пришлите на [email protected]

----------


## [email protected]

я удалил этот троян с помощью утилиты Neo Utilities: убрал галочку с запрета восстановления и сделал откат до заражения системы .

----------


## AlexLSL

Один маленький вопрос..
Со слов пользователя у него на рабочем столе нет ни одной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
Окно "Выполнить.." заблокировано..

----------


## anton_dr

> Один маленький вопрос..
> Со слов пользователя у него на рабочем столе нет ни обной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
> Окно "Выполнить.." заблокировано..


Отобразить "Выполнить" WINDOWS+R - работает?
Если нет, можно попробовать WINDOWS+F - поиск файла- avz, и из окна поиска запустить

----------


## Exxx

Или Ctrl+Ald+Del --> "Диспетчер задач" --> "Новая задача..." --> найти и запустить икзешник АВЗ.

----------


## RiC

> Один маленький вопрос..
> Со слов пользователя у него на рабочем столе нет ни одной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
> Окно "Выполнить.." заблокировано..


Win^E

----------


## Зайцев Олег

Интрересно - после почти годичного перевыва видимо пошла очередная волна. Файл немного изменился (не сильно - ошибок в коде трояна по прежнему куча), проявления и лечения аналогичные описанном выше. Кстати, запустить AVZ можно еще одим путем - этот зверь не блокирует программы/стандартные/командная строка в меню по кнопке "пуск"

----------


## Firza

Похоже что данный вирус  в “нормальны обстоятельствах” на Windows 2000/XP неработоспособен, даже если его запустить. Большинство действий которые совершает данный вирус ему просто недоступны в этих самых “нормальны обстоятельствах”. Странный все-таки этот среднестатистический пользователь Windows, в Windows ведь давно строена хорошая защита от вредоносных программ (примерна 95% вирусов отсекается автоматически), а он все равно продолжает обходить ее стороной и устанавливает всякие там антивирусы, которые все равно не могут защитить компьютер от вирусов.

----------


## Зайцев Олег

> Похоже что данный вирус  в “нормальны обстоятельствах” на Windows 2000/XP неработоспособен, даже если его запустить. Большинство действий которые совершает данный вирус ему просто недоступны в этих самых “нормальны обстоятельствах”. Странный все-таки этот среднестатистический пользователь Windows, в Windows ведь давно строена хорошая защита от вредоносных программ (примерна 95% вирусов отсекается автоматически), а он все равно продолжает обходить ее стороной и устанавливает всякие там антивирусы, которые все равно не могут защитить компьютер от вирусов.


Не стоит утверждать что-то без анализа зловреда. Большинство повреждений реестра этот "зверь" делает именно в HKCU, и права на запись туда у пользователя есть.

----------


## Deps

Сделал все по инструкции . Все восстановилось. Спасибо.

( а совет Мерфи весьма полезен - " Если что-то не получается - прочитай инструкцию")

----------


## khryak

Огромное спасибо! Сделал, как было написано в инструкции - система восстановилась!
 Хотя самого тела зверя обнаружить не удалось, как и 2-х указанных файлов (думаю, у меня попалась какая-то модификация описанного вируса - адрес по которому предлагает отправить кодпополнения счёта Киевстар: [email protected]). Просто по окончании проверки запустил восстановление системы. Остался , правда один небольшой глюк - картинка при установке её в качестве фоновой на рабочем столе съезжает вправо и вниз. Думаю, что в реестре всё-же не всё восстановилось. А в общем - класс! СПАСИБО!

----------


## Deps

> Огромное спасибо! Сделал, как было написано в инструкции - система восстановилась!
> Хотя самого тела зверя обнаружить не удалось, как и 2-х указанных файлов (думаю, у меня попалась какая-то модификация описанного вируса - адрес по которому предлагает отправить кодпополнения счёта Киевстар: [email protected]). Просто по окончании проверки запустил восстановление системы. Остался , правда один небольшой глюк - картинка при установке её в качестве фоновой на рабочем столе съезжает вправо и вниз. Думаю, что в реестре всё-же не всё восстановилось. А в общем - класс! СПАСИБО!


У меня было такое. Надо в настройках монитора ( панель управления)
в закладке Web восстановить картинку.

----------


## khryak

Спасибо! Установка и снятие галочки "Отображать мою текущую страницу" восстановило положение картинки рабочего стола.

----------


## sergiv2

Доброе утро!
Извините, а где Прицепленный к теме апдейт ????
1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ

----------


## Shu_b

> Доброе утро!
> Извините, а где Прицепленный к теме апдейт ????
> 1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ


Это было давно, когда AVZ не умела обновляться...
Скачайте свежую версию, всё уже внутри.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RiC_Unreg

> Доброе утро!
> Извините, а где Прицепленный к теме апдейт ????
> 1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ


Убран и переложен в основную базу к AVZ.

----------


## leonid.m

Ребята, зараза за 25 гривен модифицировалась, не удается снять атрибуты скрытый у папки Program Files, и файлы не те уже... в смысле которые он копирует...
Но предложенные шаги лечения, в самом начале поста, помогли... Огромное спасибо, особенно утилитка помогла, AVZ

----------


## Зайцев Олег

> Ребята, зараза за 25 гривен модифицировалась, не удается снять атрибуты скрытый у папки Program Files, и файлы не те уже... в смысле которые он копирует...
> Но предложенные шаги лечения, в самом начале поста, помогли... Огромное спасибо, особенно утилитка помогла, AVZ


Конечно модифицировалась - если есть файлы, принадлежащие зверю - присылайте на анализ. Но вообще известно более 15 разновидностей этой штуки, различия незначительные - в именах файлов и мелких особенностях безобразий, совершаемых в системе

----------


## leonid.m

Вложен установщик этой заразы, в архиве RAR.
Он уже 10 wmz просит  :Smiley: 


Конечно, похвально, что вы делитесь новой заразой с другими "коллекционерами", но, право, лучше присылать ее через форму загрузки вирусов https://virusinfo.info/upload_virus.php


Файл сохранён как 10_wmz_44f26e544c4c8.rar 
Размер файла 129050 
MD5 2c2596e5d019e054eccfd3cf7b03014c

----------


## RiC

> Вложен установщик этой заразы, в архиве RAR.
> Он уже 10 wmz просит


Если Вы желаете прислать образец заразы, не нужно его выкладывать на форум, залейте его отдельно, как написано в правилах раздела "Помогите!".

----------


## leonid.m

Закачал, в таком виде вам сообщать о нем:
Файл сохранён как	Троян_уже_за_10_wmz_44f2c821b2431.rar	
Размер файла	129050	
MD5	2c2596e5d019e054eccfd3cf7b03014c
? или как?

----------


## pig

Так, так. См. образец в вашем предыдущем сообщении.
Лучше без русских букв, хостинг импортный, может не понять.

----------


## Alexey P.

> Троян_уже_за_10_wmz.


 Халява  :Smiley: .

----------


## Амиран

Олег! Огромное спасибо за подробное изложение!!!
Все сделал, получилось!!!
Просто из принципа не хотел отправлять 10 баксов этому умнику!!!
Еще раз СПАСИБО!!!
Всем удачи!!!

----------


## Сергей Серов

Я думаю, у людей уже есть Файл удаления, нужно поискать.

----------


## RiC

Бесплатная утилита, позволяющая восстановить работоспособность компьютера после поражения Trojan.Plastix, он-же Griven - 
скачать

----------


## СашаМ

http://enjoy.XX/mamba

Вот троян,который меня накрыл.Судя по всему модифицирован.Сам справиться не могу.Может кто поможет?

----------


## dobergad

прошел курс лечения толку 0!avz и касп файлов не видят!

----------


## RiC

> прошел курс лечения толку 0!avz и касп файлов не видят!


Ну тогда - http://virusinfo.info/showthread.php?t=1235 потому как телепаты в отпуске.

----------


## dobergad

шас хочу попробовать перевернуть поисковики и попробовать найти тот самый фаил удаления!вдруг ктото все таки заплатил!

----------


## Jolly Rojer

> шас хочу попробовать перевернуть поисковики и попробовать найти тот самый фаил удаления!вдруг ктото все таки заплатил!


Какой смысл что-то искать в поисковиках, если здесь достаточно компитентные люди которые помогают избавиться от заразы... достаточно лишь выполнить правила! Ну а если правила выполнять не желаете тогда добро пожаловать на поисковики.....

----------


## Сергей123

Ну что ? Кто нибудь разобрался как исправить эту проблему, которая рубит всю систему? Дайте верное решение!

----------


## Alexey P.

Самое верное - не запускать всякую гадость.
Устроит ?

----------


## Alexey P.

На случай, если не поможет - см. Правила  обращения за помощью.
 Требуемые три лога прикрепите в новой теме раздела "Помогите"

----------


## borka

> Бесплатная утилита, позволяющая восстановить работоспособность компьютера после поражения Trojan.Plastix, он-же Griven - 
> скачать


Недавно обновлена.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Ferroks

извините за оффтоп. не знаю в какую тему писать.
какую заплатку нужно ставить на msnetax.dll определяется Доктор Вебом как Trojan.Sender, я от него ком вылечиваю после первого выхода в инет он опять появляется?

----------


## DoSTR

> какую заплатку нужно ставить на msnetax.dll определяется Доктор Вебом как Trojan.Sender, я от него ком вылечиваю после первого выхода в инет он опять появляется?


Вариантов тут несколько, возможно вирус вылечен не полностью например загрузчик(Trojn.Downloader) остался и при выходе в интернет он тело вируса загружает заного.
По поводу номера заплатки - сказать ничего не могу, сегодня или завтра кто нибудь скажет  :Wink: 
1. Установите Firewall, например *Agnitium Outpost Firewall Pro 4.0 (1007.591.145)*:
http://agnitum.ru/products/outpost/index.php
(рекомендую, только из-за того, что сам им пользуюсь  :Smiley: 
2. Если Винда лицензионная, то установите заплатки с официального сайта.
или есть альтернатива:
Если у Вас уже стоит *Windows SP 2*, то можно установить:
http://poleznosti.ru/soft/file_catal...20060821091454

После этих Выполненных мероприятий, можно переходить к третьему пункту:
3. Для того чтобы получить полную картину о Вашей проблеме лучше пройти обследование:
http://helpme.virusinfo.info/

----------


## -=DEMON=-

А если влом искать єти файлы то можно сделать проще! Я когда напоролся на этот прикол просто проорал потому как винда и так наладом дышала... Автор утверждает что вы не сможите востаеовить систему и не сохраните важную инфу на диске с виндой, на первый взгляд это кажется правдой, нед доступа практически не к чему... делаем так: просто кликнув на меню пуска открываем проводник, и копируем чо нада! вот и всё! прога прикольная, но не совершенная!

----------


## Kisylj

Здраствуйте!!! У меня вот какая проблема! Проверила локальные диски антивирусом Dr. Weberom и он обнаружил Trojn.Isbar.438. Повторные проверки опять обнаружили его все в том же месте. Но когда находишь объект его не существует. Подскажите как от него избавится??? Очень надо!!!

----------


## anton_dr

> Подскажите как от него избавится???


Вам прямая дорога в "Помогите" http://virusinfo.info/forumdisplay.php?f=46

----------


## Retnoy

Послушайте, я случайно наткнулся на него. Но я в компьютерах 0. Можете кто-то по понятней обьяснить как это исправить. Буду благодарен. В долгу не останусь. Ну обьясните пожайлуста.

----------


## Alex_Goodwin

> Послушайте, я случайно наткнулся на него. Но я в компьютерах 0. Можете кто-то по понятней обьяснить как это исправить. Буду благодарен. В долгу не останусь. Ну обьясните пожайлуста.


Вам в  "Помогите" http://virusinfo.info/forumdisplay.php?f=46

----------


## Alexey P.

> Послушайте, я случайно наткнулся на него. Но я в компьютерах 0. Можете кто-то по понятней обьяснить как это исправить. Буду благодарен. В долгу не останусь. Ну обьясните пожайлуста.


 Если знаете, откуда взят троян, отправьте мне ссылку в личку или на е-мейл al10451 на mail.ru. Надо посмотреть, что именно делает этот.
 Вообще все последствия хорошо умеет снимать AVZ и вот эта утиль:
ftp://ftp.drweb.com/pub/drweb/windows/plstfix.exe
 но надежнее будет обратиться в раздел "Помогите".

----------


## Гость форума

Как запустить AVZ если троян блочит запуск исполняемых файлов?

----------


## Surfer

В safe-mode  :Smiley:

----------


## Гость форума

тоже самое. похоже вирь политиками все заблочил

----------


## SuperBrat

> Как запустить AVZ если троян блочит запуск исполняемых файлов?


avz.exe -> avz.cmd

----------


## a_lexusgt

KAV8.0 просит скачать скрипт лечения ! где его можно достать?

----------


## Макcим

Какой скрипт? KAV 8.0 - это бета (заглючить может). Обратитесь в раздел "Помогите!", но сначала прочитайте правила.

----------


## koliaxtx

помогите плз у меня нечего из выше упомянутого непроходит.....даже файлов от вируса нету((( я немогу ничего качать т.к блокирует.....максимум что я смог сделать это залез в папку "виндус" которая скрыта.....объясните пожалуйста что делать у меня ничего не выходит походу мне попалась новая версия....

----------


## HATTIFNATTOR

Вам сюда - http://virusinfo.info/showthread.php?t=1235

----------


## кусок

ну прочитал я ток всё заблокированно я скачать не могу я вообще ни чё не могу и как мне бвть?

*Добавлено через 9 минут*

требует деньги и не могу ни куда зайти ни как, я не могу запустить эти утилиты ни чё не могу и программу звать DANGER

*Добавлено через 56 секунд*

ну всмысли вирус этот, короче я не могу выполнить ничего что описанно помогите плиз

----------


## pig

Описанное вам не поможет, у вас другая зараза, если я правильно понял.
http://virusinfo.info/showthread.php?t=1235 - только, наверное, надо мастера позвать.

----------


## mantikora

спасите помогите))подцепил эту заразу..тоже просит или 500р или 10 американских енотов..главная проблема что не могу запустить авз чтобы произвести выше указаные метода лечения.., также не могу запустить программы-стандартные-командная строка т.к. тоже пишет что нету доступа..,диспетчер задач тоже недоступен..работает только интернет эксплорер(кстати интересно что опера тож недоступна :Smiley:  ), с грехом попалам через большие мучения удалось скачать авз и даже с еще большими мучениями его распаковать...ну а сейчас не могу его запустить..помогите плз

----------


## vidocq89

может переименовать файл поможет в другое название?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## mantikora

> может переименовать файл поможет в другое название?


чем..я ничего не могу запустить..ни один экзе не запускается(кстати еще и архиватор(винрар) странно работает.. ) и консоль не могу запустит..вобщем я в шоке..из всех вариаций которые тут были описаны у меня походу самая сложная и самая последняя модификация..

----------


## RiC

> работает только интернет эксплорер(кстати интересно что опера тож недоступна )


Можно в Эксплорере написать ссылку такого вида >> *file://C:\avz4\avz.exe*
Что приведёт к запуску указанной программы, путь нужно указывать полностью.

Ещё один экзотический вариант - правой кнопкой мыши на любой файл, к примеру архив .RAR или документ Word, из меню выбираете "Открыть с помошью" и выбираете AVZ, файл не откроется, а AVZ может запустится.

----------


## mantikora

> Можно в Эксплорере написать ссылку такого вида >> *file://C:\avz4\avz.exe*
> Что приведёт к запуску указанной программы, путь нужно указывать полностью.
> 
> Ещё один экзотический вариант - правой кнопкой мыши на любой файл, к примеру архив .RAR или документ Word, из меню выбираете "Открыть с помошью" и выбираете AVZ, файл не откроется, а AVZ может запустится.


1)не работает, хоть и выдает другого типа ошибку чем обычно..типа адресс не доступен..
2)не выходит..это походу предусмотрели и при нажатии открыть с помощью выдает стандартные нету доступа..
p.s. попробывал запустить командную строку через безопасный режим..но там таже история, все заблокировано..я в шоке с этого вируса...все очень и очень продумано..
 :SOS:  :SOS:

----------


## vidocq89

распакуйте и запустите файл из архива в аттаче... нажмите "Да" при запросе...

или создайте файл с расширением *.reg (например файл file.reg), 
впишите в него следующее:



```

Windows Registry Editor Version 5.00[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer\RestrictRun][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer]"RestrictRun"=-[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]"DisableRegistryTools"=-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableTaskMgr"=- 


```

сохраните файл и запустите...

если не поможет, то будем еще думать... заодно скажите помогло ли хоть в чем-то...

PS: набросал сейчас этот скрипт.. не уверен что исправит все проблемы, но если проблемы созданы подобными записями в реестр, то помочь должно...
Во всяком случае я на это надеюсь :Smiley:

----------


## mantikora

> распакуйте и запустите файл из архива в аттаче... нажмите "Да" при запросе...
> 
> или создайте файл с расширением *.reg (например файл file.reg), 
> впишите в него следующее:
> 
> 
> 
> ```
> 
> ...


Ни 1-й ни 2-й вариант не проходит..пишет что не может выполнить т.к. нету прав доступа.

*Добавлено через 1 минуту*

стремный вирус..кто-то очень долго модернизирует и улучшает этот код..у меня уже никаких сил нету..весь день с ним вожусь.. :Diablo:  :385:

----------


## vidocq89

запустите снова файл из аттача *ИЛИ* создайте файл с расширением *.bat (например klldskhf.bat) и запишите в него следующее:



```

reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer\RestrictRun" /vareg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer" /v RestrictRunreg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System" /v DisableRegistryToolsreg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System" /v DisableTaskMgr 


```

...затем сохраните файл и запустите....

файл в аттаче:

----------


## mantikora

> запустите снова файл из аттача *ИЛИ* создайте файл с расширением *.bat (например klldskhf.bat) и запишите в него следующее:
> 
> 
> 
> ```
> 
> reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer\RestrictRun" /vareg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer" /v RestrictRunreg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System" /v DisableRegistryToolsreg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System" /v DisableTaskMgr 
> 
> 
> ...


тоже самое..нет допуска..

----------


## vidocq89

так вы не под админскими правами что ли?..
а через безопасный режим делать это пробовали?..
ехешники какие-нибудь хоть запускаются?
...
*1).*
попробуйте АВЗ переименовать в IEXPLORE.EXE
(т.е название само IEXPLORE, а расширение, естественно, ехе)

*2).* 
если не лень (*если не помог пункт первый*), по очереди переименовывайте расширение у АВЗ и пробуйте его запускать в следующие: 
в *.scr затем в *.pif  затем в *.com и затем в *.cmd  ...
т.е просто дайте авз название типа flhfsdfh (хаотический набор букв) и меняйте расширение ЕХЕ на те, которые я предложил... может получиться...

----------


## mantikora

> так вы не под админскими правами что ли?..
> а через безопасный режим делать это пробовали?..
> ехешники какие-нибудь хоть запускаются?
> ...
> *1).*
> попробуйте АВЗ переименовать в IEXPLORE.EXE
> (т.е название само IEXPLORE, а расширение, естественно, ехе)
> 
> *2).* 
> ...


ты гений))помогло)))покрайне мере авз запустил ща буду пробывать починить свою родную железяку))
спасибо)))))))))))) :Smiley:  :Smiley:  :Thumbs Up: 

*Добавлено через 1 минуту*

помогло 1-е))

----------


## vidocq89

> ты гений))помогло)))покрайне мере авз запустил ща буду пробывать починить свою родную железяку))
> спасибо))))))))))))
> 
> Добавлено через 1 минуту
> 
> помогло 1-е))


спасибо)) 
рад, что смог помочь.

Мне просто нравиться помогать людям... :Smiley: 

кстати, я переписал на другой скриптовый язык под винду те несколько строк... 
попробуйте запустить... хотя, раз авз пашет - все это уже не важно... и скорее всего работать не будет... 

поэтому запускать файл из аттача теперь не обязательно

а так... теперь выполняйте правила:
http://virusinfo.info/showthread.php?t=1235 и постите в том разделе тему...
также в АВЗ можете попробовать поковырять:
 Файл - Мастер поиска и удаления проблем...

----------


## mantikora

все это финита ля комедиа..вирус безсмертный, который учитывает все возможные способы атаки..
кароче запустил я авз и просканил систему, ничего не нашло..ну я как было написано выполнил полное восстановление, перегрузил комп и что..тоже самое только еще хуже..системе еще хуже стало..даже ИЕ не запускался, а рабочий стол вообще полностью черный стал..я уж думал идти вешаться, но решил еще проверить 2-й аккаунт(у меня их слава богу было 2) и там все по сути тоже самое что и до этого было..но хоть ИЕ как и раньше работает..вобщем пройдя снова кучу этапов мучений добрался до авз(ох как это было не просто..) ...вобщем не знаю че даж делать..уже стремно чето жать..потому что это последний аккаунт..и если и сейчас что-то не так случится то потом даж в инэт не смогу зайти..походу создатели вируса(ох добраться бы до них  :Diablo: ) в последней модификации все предусмотрели и то что произошло с предыдущим аккаунтом(пользователем) было наказанием за попытку удалить вирус.. :Sad:

----------


## vidocq89

через безопасный режим пробовали?
правила: http://virusinfo.info/showthread.php?t=1235  выполняли?..
выполните...запостите логи... 
хелперы вам помогут

----------


## mantikora

> через безопасный режим пробовали?
> правила: http://virusinfo.info/showthread.php?t=1235 выполняли?..
> выполните...запостите логи... 
> хелперы вам помогут


через безопасный режим таже история..
а насчет оформления заявки сейчас как раз собираю инфу..но в таком мега ограниченном режиме это сделать очень непросто((

----------


## vidocq89

я удивлюсь если восстановление ассоциаций поможет, т.к по-моему запрещен запуск ехешников другим способом
...
хотя ...

----------


## Alexsivak

Здраствуйте!


Здраствуйте!
У меня в точности такая же проблема как у mantikora, перепробовал все что здесь было предложено, только AVZ пока не запускал, боюсь также потом все хуже станет.
удалил вновь прописанные файлы в C:\WINDOWS\WinSxS и C:\WINDOWS\Provisioning\Schemas и потом С других машин по сети прошарил зараженную и Касперским и нортоном с последними базами, ничего не нашли, даже файл Photo.exe (якобы самораспоковывающийся архив) с которого все началось они не зацепили.
С зараженной машины запускается только explorer, т.е. если переименовывать в iexplorer.exe то запускаются програмы но нет поддержки dll у нортона и в итоге зависает.
пробовал переименовывать и запускать C:\WINDOWS\system32\Restore востановление, сначала запускается но пишет что востановление системы отключено, при включении опять вылазиет предупреждение об ограниченных ресурсах, может можно как нибудь через ключи включить востановление системы, чтобы потом запустить переименованный файл из C:\WINDOWS\system32\Restore ?

----------


## kps

> С зараженной машины запускается только explorer, т.е. если переименовывать в iexplorer.exe то запускаются програмы но нет поддержки dll у нортона и в итоге зависает.


Скачайте AVZ отсюда: http://rapidshare.com/files/116950728/IEXPLORE.EXE.html
Сделайте логи по правилам, создайте тему в разделе "Помогите!". Мы Вам поможем.

----------

