Показано с 1 по 13 из 13.

Разблокировать реестр. (заявка № 98562)

  1. #1
    Junior Member Репутация
    Регистрация
    08.12.2008
    Сообщений
    32
    Вес репутации
    56

    Exclamation Разблокировать реестр.

    ОС Win XP SP3, компьютер был заражен вирусами, которые удалось убрать только использую LiveCD , сейчас все вроде чисто, но осталось одна проблема - невозможно вносить изменения в реестр.!!!!
    Regedit нормально запускается, но после внесения изменений выдает отказ в доступе.
    В реестре не было ветки
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System] "DisableRegistryTools"=dword:00000000
    Я ее добавил использую LiveCD, но это не помогло.
    Использовать gpedit.msc для внесения изменений в > PREVENT ACCESS TO REGISTRY EDITING TOOLS не имеет смысла т.к. Regedit нормально запускается.

    AVZ ничего не находит, установить новый антивирус не удается, пишет у вас нет достаточно прав ( Естественно т.к. нельзя изменить реестр).
    Может, кто подскажет, как можно разблокировать реестр после вирусной атаки, буду очень признателен.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(17);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Каков результат?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    08.12.2008
    Сообщений
    32
    Вес репутации
    56
    Большое спасибо, обязательно проверю и отпишу.
    Это будет в понедельник т.к. машина на работе.

  5. #4
    Junior Member Репутация
    Регистрация
    08.12.2008
    Сообщений
    32
    Вес репутации
    56
    Цитата Сообщение от thyrex Посмотреть сообщение
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(17);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Каков результат?
    Перед выполнением скрипта, я проверил значение BDEADF00-C265-11D0-BCED-00A0C90AB50F в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\NonEnum оно равно 1 так , что выполнять скрипт небыло надобности, но я для спортивного интереса попробовал выполнение скрипта с заменой зночения 1 на 0 и после перегрузки оказалось, что в реестр никаких изменений не внесено, следовательно редактирование реестра недоступно даже для при выполнении скрипта AVZ. Изменения в реестр, по прежнему, можно вносить только загрузившись с Live CD.
    Пока проблему решить не удается жду помощи.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Сделайте логи по правилам.
    I am not young enough to know everything...

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Aleksandr49 Посмотреть сообщение
    Перед выполнением скрипта, я проверил значение BDEADF00-C265-11D0-BCED-00A0C90AB50F в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\NonEnum оно равно 1 так , что выполнять скрипт небыло надобности, но я для спортивного интереса попробовал выполнение скрипта с заменой зночения 1 на 0
    Самостоятельно вносить измения в скрипт не стоит, хелпер не просто так добавил эту команду, это запись в реестре нужна в комплексе (точней из-за) применения других команд в скрипте.

    Сделайте логи по правилам раздела Важно: Правила! Читать перед запросом о помощи!, а то так гадать что происходит ...

  8. #7
    Junior Member Репутация
    Регистрация
    08.12.2008
    Сообщений
    32
    Вес репутации
    56
    Цитата Сообщение от Bratez Посмотреть сообщение
    Сделайте логи .
    Vot Logi
    Последний раз редактировалось Bratez; 28.02.2011 в 13:45. Причина: virusinfo_cure.zip - карантин, в теме неуместен

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('dwwinxp.exe','');
    QuarantineFile('C:\WINDOWS\system32\winjpg.jpg','');
    QuarantineFile('C:\WINDOWS\system32\winxp.exe','');
    BC_ImportAll;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=98562).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    08.12.2008
    Сообщений
    32
    Вес репутации
    56

    Разблокировать реестр.

    выполнил скрипт вот результат

    на первый взгляд ничего не изменилось.
    В карантине файлов нет так как я их давно удалил, а это остались только записи в реестре.
    при выполнении скрипта :
    1 AVZ Guard выдает AVZ Guard error: C0000061
    2 в реестр никаких изменений не вносит.
    по моему, это можно сделать загрузившись с Live CD
    Последний раз редактировалось Aleksandr49; 28.02.2011 в 22:28.

  11. #10
    Junior Member Репутация
    Регистрация
    08.12.2008
    Сообщений
    32
    Вес репутации
    56
    Мне подсказали, что AVZ Guard error: C0000061 означает, что AVZ не от администратора запущен.
    Теперь мне стало ясно, возможно вирус, который был в системе, изменил параметры администратора и по этой причине я не могу вносить изменения в реестр.
    Других пользователей с админскими правами нет, напрашивается вопрос: как мне восстановить права администратора.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Aleksandr49 Посмотреть сообщение
    Мне подсказали, что AVZ Guard error: C0000061 означает, что AVZ не от администратора запущен.
    Действительно, по логу видно, что AVZ работает без прав администратора.
    Поэтому и изменений от выполнения скрипта нет.

    Цитата Сообщение от Aleksandr49 Посмотреть сообщение
    Других пользователей с админскими правами нет
    А встроенная учётка Администратор?
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    08.12.2008
    Сообщений
    32
    Вес репутации
    56
    Проблему решил
    Всем спасибо!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winjpg.jpg - Worm.VBS.Autorun.eh ( BitDefender: Trojan.VBS.Agent.AS, AVAST4: VBS:AutoRun-T [Wrm] )


  • Уважаемый(ая) Aleksandr49, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. lockdir.exe разблокировать файлы
      От 6yx в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.02.2012, 10:21
    2. Помогите разблокировать компьютер!
      От Gubin в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.01.2012, 19:02
    3. lockdir помогите разблокировать
      От gessa в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.01.2012, 14:04
    4. Как разблокировать Windows?
      От radibor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.12.2011, 21:37
    5. Ответов: 18
      Последнее сообщение: 18.01.2010, 15:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00460 seconds with 19 queries