Диспетчер задач и реестр

Printable View

01.09.2008, 11:41
MEMHOH

Вложений: 2

Диспетчер задач и реестр

Выручайте. Блокируется диспетчер задач и реестр. Запускал разблокировку через AVZ и чистил реестр. Но записи в реестре о блокировке снова появляются.

[COLOR="Red"]moderated::Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).[/COLOR]
01.09.2008, 11:55
Rene-gad

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не обновлена версия Hijackthis. Скачайте последнюю версию по ссылке в правилах.
- Не запущен Интернет Эксплорер.
[/COLOR]

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('dac970nt');
QuarantineFile('C:\WINDOWS\system32\drivers\lijiin.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\lijiin.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('dac970nt');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
01.09.2008, 12:28
MEMHOH

Вложений: 3

Скачал - обновил. Карантин высылаю. AVZ.exe вылетает. Переименовал в tral.bat. Прилагаю логи.
По-прежнему блокируется реестр. Не нравится запись

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

И путем сравнения реестров с разных компов нашел различия. На зараженном компе отстутствует ветка
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

И диспетчер тоже блокируется
01.09.2008, 12:36
Rene-gad

Выполните пункт 2 правил.

AVZ, Файл/Мастер поиска и устранения проблем/Системные проблемы/Все, искать, все отметить, запустить.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('dac970nt');
QuarantineFile('C:\WINDOWS\system32\drivers\lijiin.sys','');
QuarantineFile('F:\ggwh.pif','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\ggwh.pif');
DeleteFile('C:\WINDOWS\system32\drivers\lijiin.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('dac970nt');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи.
01.09.2008, 13:23
MEMHOH

Вложений: 3

Объясните

Логи прилагаю
Вас не затруднит разъяснить смысл и действие команды. К примеру, что значит, executerepair(9);?
01.09.2008, 13:32
Rene-gad

Выполните пункт 2 правил.

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\drivers\lijiin.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Потом повторите логи
[QUOTE=MEMHOH;277723]
Вас не затруднит разъяснить смысл и действие команды. К примеру, что значит, executerepair(9);?[/QUOTE]
АВЗ, Файл/Восстановление системы, см. пункт 9 ;)
01.09.2008, 13:52
MEMHOH

Нету

Нет такого файла. И поиск ничего не дал
01.09.2008, 13:54
Rene-gad

А пункт 2 правил выполнили?
01.09.2008, 14:07
MEMHOH

Вылетает этот антивирус. Требует какой-то setup.exe почему то на диске A:
И безопасный режим не запускается. Пролетает
01.09.2008, 14:50
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(10);
RebootWindows(true);
end.
[/CODE]Потом выполните пункт 2 правил.
01.09.2008, 16:18
MEMHOH

Просканировал. Удалил кучу вирусов. Диспетчер и реестр по-прежнему недоступны. и файлика lijiin.sys нет
01.09.2008, 16:19
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(9);
executerepair(11);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки новые логи в студию.
01.09.2008, 17:09
MEMHOH

Вложений: 3

Заработало

Черт знает как. Но в AVZ из процессов удалил winvsuno.exe и ещё какой то не помню. Прогнал в поиске. Нашел их так же в Prefetch, тоже удалил. Прогнал AusLogics с очисткой диска и реестра. Запустил антивирус. Проверился. Ещё кучу гадостей нашел, удалил.На всякий случай выкладываю логи.
Хотелось бы знать процесс блокировки. Какая зараза и в каком файле действовала?
01.09.2008, 17:14
Rene-gad

[URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\drivers\lijiin.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('dac970nt');
QuarantineFile('C:\WINDOWS\system32\drivers\lijiin.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\lijiin.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('dac970nt');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи.
01.09.2008, 18:34
MEMHOH

Все рано нету ))

Но в реесире нашел запись с этим файлом. Она проистекала из файла dac970nt.sys. Удалил все намеки на них в реестре. Логи прилагаю. Комп здоров вроде
01.09.2008, 18:37
Rene-gad

[QUOTE=MEMHOH;277913]Она проистекала из файла dac970nt.sys. Удалил все намеки на них в реестре. [/QUOTE]Поищите этот файл плиз, и пришлите нам (правила приложения 2 и 3 ) И спасибо за активное участие :)
Ну и логи давайте.
01.09.2008, 18:38
MEMHOH

Чет логи не

Чет логи не хотят грузиться. Гружу, а тут пусто
01.09.2008, 18:46
Rene-gad

[QUOTE=MEMHOH;277918]Чет логи не хотят грузиться. Гружу, а тут пусто[/QUOTE]Что-то связь барахлит - у меня тоже подвисает систематически. Попробуйте минут через 5.
22.02.2009, 07:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] f:\\ggwh.pif - [B]Virus.Win32.Sality.aa[/B] (DrWEB: Win32.Sector.11)[/LIST][/LIST]