-
Junior Member
- Вес репутации
- 52
Последствия трояна. Не запускаются антивирусные утилиты
Добрый день. Проблема такая. На компе было несколько троянов. Они не давали запустить антивирусные утилиты. Решил проблему, подцепив винт к другому компу и запустив Касперского. Однако после лечения и удаления троянов остались вызванные ими проблемы
- не подключаются флешки (в диспетчере устройств все нормально, usb мышь работает)
- не запускается regedit
- запускается и тут же заканчивает работу Dr Web cure IT(независимо от имени файла)
- hijackthis удается запустить только переименованый
- AVZ удается запустить, только переименовав, но тогда в нем невозможно снять скрипты (таблица выбора скриптов пустая)
- полиморфный AVZ не запускается, даже переименованый.
- установленный на компьютере Касперский 2009 не запускается ни автоматически, ни вручную
Поэтому могу приложить только логи hijackthis
Есть смысл заниматься дальше или переставлять Windows?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe helper.dll run
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(16);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
попробуйте сделать логи по правилам п.1-3 раздела Диагностика.( virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
[QUOTE=polword;610290]1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe helper.dll run
пофиксил. по прежнему не удается запустить avz
сделал новый лог HiJackThis
-
Попробуйте сделать логи AVZ в безопасном режиме.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
PavelA
Попробуйте сделать логи AVZ в безопасном режиме.
к сожалению, не запускается и в безопасном режиме. Может у кого есть переименованый AVZ, он бы мне помог.
-
Попробуйте такой AVZ
Если не поможет, скачайте утилиту во вложении, распакуйте и запустите так KatesKiller -l log.txt -v
log.txt прикрепите к сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Отлично, помогло. Только базы у него не удается обновить, но для снятия логов это, наверное, не обязательно
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\cvax.tmp','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\cvax.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи обычным AVZ с обновленными базами
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Файл сохранён как100325_215235_virus_4babb0f3b1680.zipРазмер файла19670MD5e4b1a5d17a1a86ae7062a4fb5894513e
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Сделайте новые логи обычным AVZ с обновленными базами
Готово
-
Trojan-PSW.Win32.Kates.bw
Меняйте все пароли
Лог HiJack новый также сделайте. В этих логах порядок
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Пофиксите в HiJack
Код:
O20 - AppInit_DLLs: winmm.dll
Больше ничего плохого
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Trojan-PSW.Win32.Kates.bw
Меняйте все пароли
А он есть в базах Касперского? А то я в зараженный комп свою флешку вставлял, теперь боюсь ее в свой включать
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Пофиксите в HiJack
Код:
O20 - AppInit_DLLs: winmm.dll
готово
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\user\locals~1\temp\cvax.tmp - Trojan-PSW.Win32.Kates.bw ( DrWEB: Trojan.AntiAV.6, AVAST4: Win32:Kates-AL [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-