PDA

Просмотр полной версии : Trojan.Win32.Agent.il (KAV), Trojan.Griven (DrWeb) - троян за 25 гривен :)



Зайцев Олег
04.10.2005, 16:02
Сегодня наблюдается уже несколько обращений пострадавших от данного трояна - данный троян интересен тем, что не лечится антивирусами - удаление самого "зверя" недостаточно для восстановления работы системы.
Сам "зверь" имеет размер 53777 байта, ничем не сжат и не зашифрован. В момент запуска копирует себя в системные папки:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
и прописывает себя в автозапуск при помощи стандартного ключа реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
(причем в автозапуск приписывается оба файла)
Обе программы совершенно идентичны и отличаются только местоположением. Процесс отрабатывает и завершается (т.е. они не висят в процессе работы в памяти, что затрудняет обнаружение).
Деструктивное действие состоит в
1. создании ряда ключей реестра, которые ограничивают действия пользователя (т.н. Policies), наприемер блокируется закрытие окна проводника, нет доступа к многим настройкам, блокируется запуск RegEdit
2. Добавляет параметры WinLogon, выводящие при загрузке сообщение "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail [email protected] код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления..." с заголовком окна "DANGER"
3. Меняет ряд настроек IE (заголовок окна, стартовую страницу)
4. Меняет форматную строку, отвечающую за форматирование времени (в региональных настроках), что приводит к выводу вместо времени в программах (в том числе в SysTray) нецензурщины
5. Ставит атрибуты "скрытый", "системный" для Windows, Program Files (при этом делает это некорректно - папки ищутся на диске C:\), создает несколько посторонних папок, в частности "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"

Лечение
Методика лечения:
1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ
2. Пролечить системный диск (с обновлением троян будет найден и убит) - должно убиться минимум 2 файла в папке Windows. Файлы можно удалить вручную - это файлы
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
3. Запустить (не выходя из AVZ) восстановление системы AVZ (Файл -> Восстановление системы). Там отметить птичками все позиции
восстановления и нажать кнопку "Выполнить отмеченные операции"
4. Перезагрузить компьютер. Сообщение в загрузке должно пропасть,
блокировки вызова настроек и прочее должно восстановиться
5. Зайти любым менеджером диска (типа FAR) на системный диск и
5.1 Изменить атрибуты папок Windows и Program Files на нормальные (у
них задан атрибут "скрытый")
5.2 Удалить пустые папки "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"
6. Зайти в панель управления, там - в "Язык и региональные стандарты"
- и там на первой закладке переключитьс с русского скажем на
румынский и назад - это приведет к восстановлению региональных
настроек, в частности, форматной маски времени - после этого часы в трее и отображение времени в программах нормализуется.
----------
Известен второй вариант данного трояна - REG файл, выполняющий аналогичные по сути действия. В этом случае шаги лечения аналогичны, но на стадии 2 не будет указанных exe файлов.
----------
В текущей версии трояна он некорректно копирует свои exe в систему - он полагает, что система находится на c:\windows - при нахождении системы на другом диске троян только портит реестр, но файлы свои не копирует.

WaterFish
04.10.2005, 20:54
По поводу KAV и Trojan.Win32.Agent.il

File: CodGen5.1.exe
Status:
INFECTED/MALWARE
MD5 d2c48dfa762aec8e2ebdc9c6913d8ed3
Packers detected: S0M# 2.60

Scanner results
AntiVir Found nothing
ArcaVir Found Trojan.Agent.Ht
Avast Found Win32:Trojano-2351
AVG Antivirus Found Agent.DD
BitDefender Found nothing
ClamAV Found nothing
Dr.Web
Found Trojan.Griven
F-Prot Antivirus Found Trojan.Griven
Fortinet Found W32/Agent.HT-tr
Kaspersky Anti-Virus Found nothing
NOD32 Found Win32/KillFiles.NAB
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing


Тоже самое и на virustotal и на windows XP с кав 5
Почему так, интересно?

Geser
04.10.2005, 21:39
По поводу KAV и Trojan.Win32.Agent.il

File: CodGen5.1.exe
Status:
INFECTED/MALWARE
MD5 d2c48dfa762aec8e2ebdc9c6913d8ed3
Packers detected: S0M# 2.60

Scanner results
AntiVir Found nothing
ArcaVir Found Trojan.Agent.Ht
Avast Found Win32:Trojano-2351
AVG Antivirus Found Agent.DD
BitDefender Found nothing
ClamAV Found nothing
Dr.Web
Found Trojan.Griven
F-Prot Antivirus Found Trojan.Griven
Fortinet Found W32/Agent.HT-tr
Kaspersky Anti-Virus Found nothing
NOD32 Found Win32/KillFiles.NAB
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing


Тоже самое и на virustotal и на windows XP с кав 5
Почему так, интересно?
Похоже не знают они троянчик. Отправил им

WaterFish
04.10.2005, 22:56
..."из лаб. Касперского ответили - они добавили зверя в базы как Trojan.Win32.Agent.il."...

http://virusinfo.info/showthread.php?p=56390
Зайцев Олег 13-07, 04/10/05
:?

Зайцев Олег
04.10.2005, 23:19
..."из лаб. Касперского ответили - они добавили зверя в базы как Trojan.Win32.Agent.il."...

http://virusinfo.info/showthread.php?p=56390
Зайцев Олег 13-07, 04/10/05
:?
Я проверил реакцию в конце рабочего дня - в базах он не появился. Странно, т.к. подтверждение в письме мне дали однозначное и имя зверя присвоили...

WaterFish
05.10.2005, 09:55
Да похоже всей конторой заплатку шьют для cab'a:)
Последнее daily-обновление на сайте от вчера 19:53 москвы

Swat
19.10.2005, 10:52
Здраствуйте (Зайцев Олег), СПАСИБО за инструкцию о том как правильно удалить эту дрянь с компика.Всё получилось - СПАСИБО:) . Но у меня есть вопрос, какой ещё вред кроме того что побил реестр он приносит? Есть возможность того что через некоторое время он опять навредит? как удастоверится что его на машине нет? ВОстольном всё впорядке только у других прользователей не открывается меню пуск, кроме админа, может есть совет по исправлению проблемы - это случилось после заражения и обезвреживания, заранее благодарен Андрей. ответ по возможности пришлите на [email protected]

J@B
18.11.2005, 11:51
я удалил этот троян с помощью утилиты Neo Utilities: убрал галочку с запрета восстановления и сделал откат до заражения системы .

AlexLSL
13.12.2005, 15:48
Один маленький вопрос..
Со слов пользователя у него на рабочем столе нет ни одной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
Окно "Выполнить.." заблокировано..

anton_dr
13.12.2005, 15:56
Один маленький вопрос..
Со слов пользователя у него на рабочем столе нет ни обной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
Окно "Выполнить.." заблокировано..
Отобразить "Выполнить" WINDOWS+R - работает?
Если нет, можно попробовать WINDOWS+F - поиск файла- avz, и из окна поиска запустить

Exxx
13.12.2005, 16:40
Или Ctrl+Ald+Del --> "Диспетчер задач" --> "Новая задача..." --> найти и запустить икзешник АВЗ.

RiC
13.12.2005, 17:44
Один маленький вопрос..
Со слов пользователя у него на рабочем столе нет ни одной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
Окно "Выполнить.." заблокировано..
Win^E

Зайцев Олег
25.07.2006, 12:54
Интрересно - после почти годичного перевыва видимо пошла очередная волна. Файл немного изменился (не сильно - ошибок в коде трояна по прежнему куча), проявления и лечения аналогичные описанном выше. Кстати, запустить AVZ можно еще одим путем - этот зверь не блокирует программы/стандартные/командная строка в меню по кнопке "пуск"

Firza
25.07.2006, 23:06
Похоже что данный вирус в “нормальны обстоятельствах” на Windows 2000/XP неработоспособен, даже если его запустить. Большинство действий которые совершает данный вирус ему просто недоступны в этих самых “нормальны обстоятельствах”. Странный все-таки этот среднестатистический пользователь Windows, в Windows ведь давно строена хорошая защита от вредоносных программ (примерна 95% вирусов отсекается автоматически), а он все равно продолжает обходить ее стороной и устанавливает всякие там антивирусы, которые все равно не могут защитить компьютер от вирусов.

Зайцев Олег
26.07.2006, 09:06
Похоже что данный вирус в “нормальны обстоятельствах” на Windows 2000/XP неработоспособен, даже если его запустить. Большинство действий которые совершает данный вирус ему просто недоступны в этих самых “нормальны обстоятельствах”. Странный все-таки этот среднестатистический пользователь Windows, в Windows ведь давно строена хорошая защита от вредоносных программ (примерна 95% вирусов отсекается автоматически), а он все равно продолжает обходить ее стороной и устанавливает всякие там антивирусы, которые все равно не могут защитить компьютер от вирусов.
Не стоит утверждать что-то без анализа зловреда. Большинство повреждений реестра этот "зверь" делает именно в HKCU, и права на запись туда у пользователя есть.

Deps
15.08.2006, 14:35
Сделал все по инструкции . Все восстановилось. Спасибо.

( а совет Мерфи весьма полезен - " Если что-то не получается - прочитай инструкцию")

khryak
16.08.2006, 14:18
Огромное спасибо! Сделал, как было написано в инструкции - система восстановилась!
Хотя самого тела зверя обнаружить не удалось, как и 2-х указанных файлов (думаю, у меня попалась какая-то модификация описанного вируса - адрес по которому предлагает отправить кодпополнения счёта Киевстар: [email protected]). Просто по окончании проверки запустил восстановление системы. Остался , правда один небольшой глюк - картинка при установке её в качестве фоновой на рабочем столе съезжает вправо и вниз. Думаю, что в реестре всё-же не всё восстановилось. А в общем - класс! СПАСИБО!

Deps
18.08.2006, 01:28
Огромное спасибо! Сделал, как было написано в инструкции - система восстановилась!
Хотя самого тела зверя обнаружить не удалось, как и 2-х указанных файлов (думаю, у меня попалась какая-то модификация описанного вируса - адрес по которому предлагает отправить кодпополнения счёта Киевстар: [email protected]). Просто по окончании проверки запустил восстановление системы. Остался , правда один небольшой глюк - картинка при установке её в качестве фоновой на рабочем столе съезжает вправо и вниз. Думаю, что в реестре всё-же не всё восстановилось. А в общем - класс! СПАСИБО!

У меня было такое. Надо в настройках монитора ( панель управления)
в закладке Web восстановить картинку.

khryak
18.08.2006, 17:15
Спасибо! Установка и снятие галочки "Отображать мою текущую страницу" восстановило положение картинки рабочего стола.

sergiv2
22.08.2006, 09:09
Доброе утро!
Извините, а где Прицепленный к теме апдейт ????
1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ

Shu_b
22.08.2006, 09:12
Доброе утро!
Извините, а где Прицепленный к теме апдейт ????
1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ
Это было давно, когда AVZ не умела обновляться...
Скачайте свежую версию, всё уже внутри.

RiC_Unreg
22.08.2006, 09:15
Доброе утро!
Извините, а где Прицепленный к теме апдейт ????
1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ

Убран и переложен в основную базу к AVZ.

leonid.m
24.08.2006, 15:41
Ребята, зараза за 25 гривен модифицировалась, не удается снять атрибуты скрытый у папки Program Files, и файлы не те уже... в смысле которые он копирует...
Но предложенные шаги лечения, в самом начале поста, помогли... Огромное спасибо, особенно утилитка помогла, AVZ

Зайцев Олег
24.08.2006, 15:49
Ребята, зараза за 25 гривен модифицировалась, не удается снять атрибуты скрытый у папки Program Files, и файлы не те уже... в смысле которые он копирует...
Но предложенные шаги лечения, в самом начале поста, помогли... Огромное спасибо, особенно утилитка помогла, AVZ
Конечно модифицировалась - если есть файлы, принадлежащие зверю - присылайте на анализ. Но вообще известно более 15 разновидностей этой штуки, различия незначительные - в именах файлов и мелких особенностях безобразий, совершаемых в системе

leonid.m
28.08.2006, 07:49
Вложен установщик этой заразы, в архиве RAR.
Он уже 10 wmz просит :)


Конечно, похвально, что вы делитесь новой заразой с другими "коллекционерами", но, право, лучше присылать ее через форму загрузки вирусов https://virusinfo.info/upload_virus.php


Файл сохранён как 10_wmz_44f26e544c4c8.rar
Размер файла 129050
MD5 2c2596e5d019e054eccfd3cf7b03014c

RiC
28.08.2006, 08:16
Вложен установщик этой заразы, в архиве RAR.
Он уже 10 wmz просит :)
Если Вы желаете прислать образец заразы, не нужно его выкладывать на форум, залейте его отдельно, как написано в правилах раздела "Помогите!".

leonid.m
28.08.2006, 14:43
Закачал, в таком виде вам сообщать о нем:
Файл сохранён как Троян_уже_за_10_wmz_44f2c821b2431.rar
Размер файла 129050
MD5 2c2596e5d019e054eccfd3cf7b03014c
? или как?

pig
28.08.2006, 15:22
Так, так. См. образец в вашем предыдущем сообщении.
Лучше без русских букв, хостинг импортный, может не понять.

Alexey P.
28.08.2006, 19:04
Троян_уже_за_10_wmz.
Халява :).

Амиран
25.09.2006, 01:16
Олег! Огромное спасибо за подробное изложение!!!
Все сделал, получилось!!!
Просто из принципа не хотел отправлять 10 баксов этому умнику!!!
Еще раз СПАСИБО!!!
Всем удачи!!!

Сергей Серов
21.10.2006, 02:41
Я думаю, у людей уже есть Файл удаления, нужно поискать.

RiC
25.10.2006, 08:09
Бесплатная утилита, позволяющая восстановить работоспособность компьютера после поражения Trojan.Plastix, он-же Griven -
скачать (http://info.drweb.com/show/2950/ru)

СашаМ
08.11.2006, 17:16
http://enjoy.XX/mamba

Вот троян,который меня накрыл.Судя по всему модифицирован.Сам справиться не могу.Может кто поможет?

dobergad
21.11.2006, 19:59
прошел курс лечения толку 0!avz и касп файлов не видят!

RiC
21.11.2006, 20:13
прошел курс лечения толку 0!avz и касп файлов не видят!
Ну тогда - http://virusinfo.info/showthread.php?t=1235 потому как телепаты в отпуске.

dobergad
21.11.2006, 20:18
шас хочу попробовать перевернуть поисковики и попробовать найти тот самый фаил удаления!вдруг ктото все таки заплатил!

Jolly Rojer
22.11.2006, 05:53
шас хочу попробовать перевернуть поисковики и попробовать найти тот самый фаил удаления!вдруг ктото все таки заплатил!
Какой смысл что-то искать в поисковиках, если здесь достаточно компитентные люди которые помогают избавиться от заразы... достаточно лишь выполнить правила! Ну а если правила выполнять не желаете тогда добро пожаловать на поисковики.....

Сергей123
26.11.2006, 21:28
Ну что ? Кто нибудь разобрался как исправить эту проблему, которая рубит всю систему? Дайте верное решение!

Alexey P.
26.11.2006, 21:42
Самое верное - не запускать всякую гадость.
Устроит ?

Alexey P.
26.11.2006, 21:48
На случай, если не поможет - см. Правила (http://virusinfo.info/showthread.php?t=1235) обращения за помощью.
Требуемые три лога прикрепите в новой теме раздела "Помогите"

borka
06.12.2006, 18:23
Бесплатная утилита, позволяющая восстановить работоспособность компьютера после поражения Trojan.Plastix, он-же Griven -
скачать (http://info.drweb.com/show/2950/ru)
Недавно обновлена.

Ferroks
25.03.2007, 16:26
извините за оффтоп. не знаю в какую тему писать.
какую заплатку нужно ставить на msnetax.dll определяется Доктор Вебом как Trojan.Sender, я от него ком вылечиваю после первого выхода в инет он опять появляется?

DoSTR
25.03.2007, 17:56
какую заплатку нужно ставить на msnetax.dll определяется Доктор Вебом как Trojan.Sender, я от него ком вылечиваю после первого выхода в инет он опять появляется?
Вариантов тут несколько, возможно вирус вылечен не полностью например загрузчик(Trojn.Downloader) остался и при выходе в интернет он тело вируса загружает заного.
По поводу номера заплатки - сказать ничего не могу, сегодня или завтра кто нибудь скажет ;)
1. Установите Firewall, например Agnitium Outpost Firewall Pro 4.0 (1007.591.145):
http://agnitum.ru/products/outpost/index.php
(рекомендую, только из-за того, что сам им пользуюсь :)
2. Если Винда лицензионная, то установите заплатки с официального сайта.
или есть альтернатива:
Если у Вас уже стоит Windows SP 2, то можно установить:
http://poleznosti.ru/soft/file_catalog/?file_id=20060821091454

После этих Выполненных мероприятий, можно переходить к третьему пункту:
3. Для того чтобы получить полную картину о Вашей проблеме лучше пройти обследование:
http://helpme.virusinfo.info/

-=DEMON=-
27.04.2007, 11:57
А если влом искать єти файлы то можно сделать проще! Я когда напоролся на этот прикол просто проорал потому как винда и так наладом дышала... Автор утверждает что вы не сможите востаеовить систему и не сохраните важную инфу на диске с виндой, на первый взгляд это кажется правдой, нед доступа практически не к чему... делаем так: просто кликнув на меню пуска открываем проводник, и копируем чо нада! вот и всё! прога прикольная, но не совершенная!

Kisylj
03.07.2007, 23:33
Здраствуйте!!! У меня вот какая проблема! Проверила локальные диски антивирусом Dr. Weberom и он обнаружил Trojn.Isbar.438. Повторные проверки опять обнаружили его все в том же месте. Но когда находишь объект его не существует. Подскажите как от него избавится??? Очень надо!!!

anton_dr
04.07.2007, 00:04
Подскажите как от него избавится???
Вам прямая дорога в "Помогите" http://virusinfo.info/forumdisplay.php?f=46

Retnoy
23.09.2007, 15:14
Послушайте, я случайно наткнулся на него. Но я в компьютерах 0. Можете кто-то по понятней обьяснить как это исправить. Буду благодарен. В долгу не останусь. Ну обьясните пожайлуста.

Alex_Goodwin
23.09.2007, 16:45
Послушайте, я случайно наткнулся на него. Но я в компьютерах 0. Можете кто-то по понятней обьяснить как это исправить. Буду благодарен. В долгу не останусь. Ну обьясните пожайлуста.
Вам в "Помогите" http://virusinfo.info/forumdisplay.php?f=46

Alexey P.
23.09.2007, 16:59
Послушайте, я случайно наткнулся на него. Но я в компьютерах 0. Можете кто-то по понятней обьяснить как это исправить. Буду благодарен. В долгу не останусь. Ну обьясните пожайлуста.
Если знаете, откуда взят троян, отправьте мне ссылку в личку или на е-мейл al10451 на mail.ru. Надо посмотреть, что именно делает этот.
Вообще все последствия хорошо умеет снимать AVZ и вот эта утиль:
ftp://ftp.drweb.com/pub/drweb/windows/plstfix.exe
но надежнее будет обратиться в раздел "Помогите".

Гость форума
30.01.2008, 17:28
Как запустить AVZ если троян блочит запуск исполняемых файлов?

Surfer
30.01.2008, 17:50
В safe-mode :)

Гость форума
30.01.2008, 18:31
тоже самое. похоже вирь политиками все заблочил

SuperBrat
31.01.2008, 10:41
Как запустить AVZ если троян блочит запуск исполняемых файлов?
avz.exe -> avz.cmd

a_lexusgt
03.02.2008, 08:29
KAV8.0 просит скачать скрипт лечения ! где его можно достать?

Макcим
03.02.2008, 09:39
Какой скрипт? KAV 8.0 - это бета (заглючить может). Обратитесь в раздел "Помогите! (http://virusinfo.info/forumdisplay.php?f=46)", но сначала прочитайте правила (http://virusinfo.info/showthread.php?t=1235).

koliaxtx
12.02.2008, 21:11
помогите плз у меня нечего из выше упомянутого непроходит.....даже файлов от вируса нету((( я немогу ничего качать т.к блокирует.....максимум что я смог сделать это залез в папку "виндус" которая скрыта.....объясните пожалуйста что делать у меня ничего не выходит походу мне попалась новая версия....

HATTIFNATTOR
12.02.2008, 21:48
Вам сюда - http://virusinfo.info/showthread.php?t=1235

кусок
21.02.2008, 03:06
ну прочитал я ток всё заблокированно я скачать не могу я вообще ни чё не могу и как мне бвть?

Добавлено через 9 минут

требует деньги и не могу ни куда зайти ни как, я не могу запустить эти утилиты ни чё не могу и программу звать DANGER

Добавлено через 56 секунд

ну всмысли вирус этот, короче я не могу выполнить ничего что описанно помогите плиз

pig
21.02.2008, 18:45
Описанное вам не поможет, у вас другая зараза, если я правильно понял.
http://virusinfo.info/showthread.php?t=1235 - только, наверное, надо мастера позвать.

mantikora
06.04.2008, 23:02
спасите помогите))подцепил эту заразу..тоже просит или 500р или 10 американских енотов..главная проблема что не могу запустить авз чтобы произвести выше указаные метода лечения.., также не могу запустить программы-стандартные-командная строка т.к. тоже пишет что нету доступа..,диспетчер задач тоже недоступен..работает только интернет эксплорер(кстати интересно что опера тож недоступна:) ), с грехом попалам через большие мучения удалось скачать авз и даже с еще большими мучениями его распаковать...ну а сейчас не могу его запустить..помогите плз

vidocq89
06.04.2008, 23:12
может переименовать файл поможет в другое название?

mantikora
06.04.2008, 23:18
может переименовать файл поможет в другое название?
чем..я ничего не могу запустить..ни один экзе не запускается(кстати еще и архиватор(винрар) странно работает.. ) и консоль не могу запустит..вобщем я в шоке..из всех вариаций которые тут были описаны у меня походу самая сложная и самая последняя модификация..

RiC
06.04.2008, 23:27
работает только интернет эксплорер(кстати интересно что опера тож недоступна:) )
Можно в Эксплорере написать ссылку такого вида >> file://C:\avz4\avz.exe
Что приведёт к запуску указанной программы, путь нужно указывать полностью.

Ещё один экзотический вариант - правой кнопкой мыши на любой файл, к примеру архив .RAR или документ Word, из меню выбираете "Открыть с помошью" и выбираете AVZ, файл не откроется, а AVZ может запустится.

mantikora
06.04.2008, 23:43
Можно в Эксплорере написать ссылку такого вида >> file://C:\avz4\avz.exe
Что приведёт к запуску указанной программы, путь нужно указывать полностью.

Ещё один экзотический вариант - правой кнопкой мыши на любой файл, к примеру архив .RAR или документ Word, из меню выбираете "Открыть с помошью" и выбираете AVZ, файл не откроется, а AVZ может запустится.
1)не работает, хоть и выдает другого типа ошибку чем обычно..типа адресс не доступен..
2)не выходит..это походу предусмотрели и при нажатии открыть с помощью выдает стандартные нету доступа..
p.s. попробывал запустить командную строку через безопасный режим..но там таже история, все заблокировано..я в шоке с этого вируса...все очень и очень продумано..
:sos::sos:

vidocq89
07.04.2008, 00:26
распакуйте и запустите файл из архива в аттаче... нажмите "Да" при запросе...

или создайте файл с расширением *.reg (например файл file.reg),
впишите в него следующее:



Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVerson\Policies\Explorer\RestrictRun]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVerson\Policies\Explorer]
"RestrictRun"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
"DisableRegistryTools"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableTaskMgr"=-

сохраните файл и запустите...

если не поможет, то будем еще думать... заодно скажите помогло ли хоть в чем-то...

PS: набросал сейчас этот скрипт.. не уверен что исправит все проблемы, но если проблемы созданы подобными записями в реестр, то помочь должно...
Во всяком случае я на это надеюсь:)

mantikora
07.04.2008, 00:44
распакуйте и запустите файл из архива в аттаче... нажмите "Да" при запросе...

или создайте файл с расширением *.reg (например файл file.reg),
впишите в него следующее:



Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVerson\Policies\Explorer\RestrictRun]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVerson\Policies\Explorer]
"RestrictRun"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
"DisableRegistryTools"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableTaskMgr"=-

сохраните файл и запустите...

если не поможет, то будем еще думать... заодно скажите помогло ли хоть в чем-то...

PS: набросал сейчас этот скрипт.. не уверен что исправит все проблемы, но если проблемы созданы подобными записями в реестр, то помочь должно...
Во всяком случае я на это надеюсь:)
Ни 1-й ни 2-й вариант не проходит..пишет что не может выполнить т.к. нету прав доступа.

Добавлено через 1 минуту

стремный вирус..кто-то очень долго модернизирует и улучшает этот код..у меня уже никаких сил нету..весь день с ним вожусь..:diablo::385:

vidocq89
07.04.2008, 00:52
запустите снова файл из аттача ИЛИ создайте файл с расширением *.bat (например klldskhf.bat) и запишите в него следующее:


reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Poli cies\Explorer\RestrictRun" /va
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Poli cies\Explorer" /v RestrictRun
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Poli cies\System" /v DisableRegistryTools
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Poli cies\System" /v DisableTaskMgr
...затем сохраните файл и запустите....

файл в аттаче:

mantikora
07.04.2008, 00:54
запустите снова файл из аттача ИЛИ создайте файл с расширением *.bat (например klldskhf.bat) и запишите в него следующее:


reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Poli cies\Explorer\RestrictRun" /va
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Poli cies\Explorer" /v RestrictRun
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Poli cies\System" /v DisableRegistryTools
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Poli cies\System" /v DisableTaskMgr
...затем сохраните файл и запустите....

файл в аттаче:
тоже самое..нет допуска..

vidocq89
07.04.2008, 01:04
так вы не под админскими правами что ли?..
а через безопасный режим делать это пробовали?..
ехешники какие-нибудь хоть запускаются?
...
1).
попробуйте АВЗ переименовать в IEXPLORE.EXE
(т.е название само IEXPLORE, а расширение, естественно, ехе)

2).
если не лень (если не помог пункт первый), по очереди переименовывайте расширение у АВЗ и пробуйте его запускать в следующие:
в *.scr затем в *.pif затем в *.com и затем в *.cmd ...
т.е просто дайте авз название типа flhfsdfh (хаотический набор букв) и меняйте расширение ЕХЕ на те, которые я предложил... может получиться...

mantikora
07.04.2008, 01:10
так вы не под админскими правами что ли?..
а через безопасный режим делать это пробовали?..
ехешники какие-нибудь хоть запускаются?
...
1).
попробуйте АВЗ переименовать в IEXPLORE.EXE
(т.е название само IEXPLORE, а расширение, естественно, ехе)

2).
если не лень (если не помог пункт первый), по очереди переименовывайте расширение у АВЗ и пробуйте его запускать в следующие:
в *.scr затем в *.pif затем в *.com и затем в *.cmd ...
т.е просто дайте авз название типа flhfsdfh (хаотический набор букв) и меняйте расширение ЕХЕ на те, которые я предложил... может получиться...
ты гений))помогло)))покрайне мере авз запустил ща буду пробывать починить свою родную железяку))
спасибо)))))))))))):):):thumbs:

Добавлено через 1 минуту

помогло 1-е))

vidocq89
07.04.2008, 01:21
ты гений))помогло)))покрайне мере авз запустил ща буду пробывать починить свою родную железяку))
спасибо))))))))))))

Добавлено через 1 минуту

помогло 1-е))
спасибо))
рад, что смог помочь.

Мне просто нравиться помогать людям...:)

кстати, я переписал на другой скриптовый язык под винду те несколько строк...
попробуйте запустить... хотя, раз авз пашет - все это уже не важно... и скорее всего работать не будет...

поэтому запускать файл из аттача теперь не обязательно

а так... теперь выполняйте правила:
http://virusinfo.info/showthread.php?t=1235 и постите в том разделе тему...
также в АВЗ можете попробовать поковырять:
Файл - Мастер поиска и удаления проблем...

mantikora
07.04.2008, 02:15
все это финита ля комедиа..вирус безсмертный, который учитывает все возможные способы атаки..
кароче запустил я авз и просканил систему, ничего не нашло..ну я как было написано выполнил полное восстановление, перегрузил комп и что..тоже самое только еще хуже..системе еще хуже стало..даже ИЕ не запускался, а рабочий стол вообще полностью черный стал..я уж думал идти вешаться, но решил еще проверить 2-й аккаунт(у меня их слава богу было 2) и там все по сути тоже самое что и до этого было..но хоть ИЕ как и раньше работает..вобщем пройдя снова кучу этапов мучений добрался до авз(ох как это было не просто..) ...вобщем не знаю че даж делать..уже стремно чето жать..потому что это последний аккаунт..и если и сейчас что-то не так случится то потом даж в инэт не смогу зайти..походу создатели вируса(ох добраться бы до них :diablo:) в последней модификации все предусмотрели и то что произошло с предыдущим аккаунтом(пользователем) было наказанием за попытку удалить вирус..:(

vidocq89
07.04.2008, 02:28
через безопасный режим пробовали?
правила: http://virusinfo.info/showthread.php?t=1235 выполняли?..
выполните...запостите логи...
хелперы вам помогут

mantikora
07.04.2008, 02:38
через безопасный режим пробовали?
правила: http://virusinfo.info/showthread.php?t=1235 выполняли?..
выполните...запостите логи...
хелперы вам помогут
через безопасный режим таже история..
а насчет оформления заявки сейчас как раз собираю инфу..но в таком мега ограниченном режиме это сделать очень непросто((

vidocq89
07.04.2008, 02:47
я удивлюсь если восстановление ассоциаций поможет, т.к по-моему запрещен запуск ехешников другим способом
...
хотя ...

Alexsivak
03.06.2008, 11:39
Здраствуйте!


Здраствуйте!
У меня в точности такая же проблема как у mantikora, перепробовал все что здесь было предложено, только AVZ пока не запускал, боюсь также потом все хуже станет.
удалил вновь прописанные файлы в C:\WINDOWS\WinSxS и C:\WINDOWS\Provisioning\Schemas и потом С других машин по сети прошарил зараженную и Касперским и нортоном с последними базами, ничего не нашли, даже файл Photo.exe (якобы самораспоковывающийся архив) с которого все началось они не зацепили.
С зараженной машины запускается только explorer, т.е. если переименовывать в iexplorer.exe то запускаются програмы но нет поддержки dll у нортона и в итоге зависает.
пробовал переименовывать и запускать C:\WINDOWS\system32\Restore востановление, сначала запускается но пишет что востановление системы отключено, при включении опять вылазиет предупреждение об ограниченных ресурсах, может можно как нибудь через ключи включить востановление системы, чтобы потом запустить переименованный файл из C:\WINDOWS\system32\Restore ?

kps
03.06.2008, 14:07
С зараженной машины запускается только explorer, т.е. если переименовывать в iexplorer.exe то запускаются програмы но нет поддержки dll у нортона и в итоге зависает.

Скачайте AVZ отсюда: http://rapidshare.com/files/116950728/IEXPLORE.EXE.html
Сделайте логи по правилам, создайте тему в разделе "Помогите!". Мы Вам поможем.