Проблемы с реестром

Printable View

08.07.2009, 16:25
Lexxus

Вложений: 3

Проблемы с реестром

[URL]http://virusinfo.info/showthread.php?p=428562#post428562[/URL]
Сабж по проблеме.

Логи:
08.07.2009, 17:27
Kuzz

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Documents and Settings\Profatilo\Local Settings\Temporary Internet Files\Content.IE5\1D0LK6M3\application[2].js','');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\6\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\symmpi.sys','');
DeleteService('Npc28');
QuarantineFile('C:\WINDOWS\System32\Drivers\Npc28.sys','');
DeleteService('mswd64');
QuarantineFile('C:\WINDOWS\system32\drivers\mswd64.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\adpu320.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mswd64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Npc28.sys');
DeleteFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\6\svchost.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]

2.Повторить логи и лог ГМЕРа сделать

[size="1"][color="#666686"][B][I]Добавлено через 53 минуты[/I][/B][/color][/size]

UPD.
[CODE]O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs[/CODE]
Вот это тоже убрать
08.07.2009, 17:48
Lexxus

Вложений: 3

UP :)

P.S. Файл virus.zip загрузил... минут 40-50 назад

HiJackthis - пофиксил только что :)
08.07.2009, 17:56
Kuzz

Контрольный Gmer-а все же желателен

"Хвосты" в HJT:
[CODE]R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\[/CODE]

То, что это правильные настройки я думаю Вы проверите:
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mosgortrans.ru
O17 - HKLM\Software\..\Telephony: DomainName = mosgortrans.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{86066724-8032-47FC-AF64-F88EB6B6F7BA}: NameServer = 130.0.0.1[/CODE]

Ну и, как говорится, "Аяяй!" :D
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]
08.07.2009, 18:00
Bratez

Скачайте [URL="http://ifolder.ru/12469206"]эту версию AVZ [/URL]и сделайте ею п.2 Диагностики (базы обновлять не нужно).
08.07.2009, 19:21
Lexxus

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Компьютер начальника :)
А что вы хотите... привязан некоторый софт к Windows и IE в частности...
Скачаю и сделаю все завтра. Сейчас дома :)

Gmer - запускаться отказался...
Поисходит то же, что было в с реестром... Экран сбрасывается, а потом восстанавливается...

(Сейчас благо реестр заработал и все остальное тоже)
08.07.2009, 21:04
Kuzz

[QUOTE='Lexxus;428879']Gmer - запускаться отказался... [/QUOTE]
Значит перед созданием логов в
[QUOTE='Bratez;428813']эту версию AVZ[/QUOTE] активируйте AVZPM (с перезагрузкой) - что-то мешает и ГМЕРу работать
09.07.2009, 09:34
Lexxus

При проверке предложенным avz - вылетает ошибка аля Access Validation... на минуте 6-й где то... сканирования...

UPD: Gmer запустился...
минут через ****цать дам посмотреть логи
09.07.2009, 10:16
Lexxus

Вложений: 1

Лог GMER
09.07.2009, 14:40
Bratez

[QUOTE=Lexxus;429152]При проверке предложенным avz - вылетает ошибка аля Access Validation... на минуте 6-й где то... сканирования...
[/QUOTE]
Не надо ничего сканировать! Только стандартный скрипт #2.
09.07.2009, 15:04
Lexxus

Вложений: 1

Понял, просто смутила фраза:

[QUOTE]Значит перед созданием логов [/QUOTE]
Я и подумал, что сделать два лога, почему то...

Такс, вот лог:
09.07.2009, 15:29
Bratez

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\..\iss.nav','');
DeleteFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\..\iss.nav');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Повторите п.2 Диагностики.
09.07.2009, 15:39
Lexxus

Вложений: 1

UP :clapping:

Закачал также

Файл сохранён как 090709_153847_virus_4a55d6c7027a2.zip
Размер файла 583
MD5 0749207f47122a839aac4656f8efb9c7
09.07.2009, 16:01
Bratez

Теперь чисто. Проблема решена?
09.07.2009, 16:04
Lexxus

Да, все летает, если можно назвать это полетом на Windows))

Реестр восстановился после первого скрипта, а это именно то, что мне и нужно было.

А после дальнейших действий - перестал грузиться ЦП под 100% с включеным IE :)

Спасибо за помощь :)
10.07.2009, 16:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.wzr[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]