-
Junior Member
- Вес репутации
- 57
Не запускается ни одна программа...
т.е. программа запускается,но только в фоновом режиме(не отображаются окна программ, а в списке процесссов числится). Проверил с помощью KVR Tool обнаружен Trojan.Win32.VBKrypt.efpa. ПРограммы стали запускаться. Но мне кажется последствия действия вируса остались. Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis (как пофиксить):
Код:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\AD-User\Application Data\lsass.exe
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe','');
QuarantineFile('C:\Documents and Settings\AD-User\Application Data\lsass.exe','');
DeleteFile('C:\Documents and Settings\AD-User\Application Data\lsass.exe');
RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv','Start', 2);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
DeleteFile(GetHostsFileName);
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
-
-
Junior Member
- Вес репутации
- 57
Карантин отправил. Новые логи прилагаю
-
Подозрений больше нет.
Что с проблемой? Симптомы есть?
-
-
Junior Member
- Вес репутации
- 57
Основных симптомов нет. Только настораживает отсутствие в свойсвах системы вкладки восстановление системы(т.е. я не могу ни включить восстановление системы, ни отключить). И ещё в логах записи про отладчик процессов "DotNetFxInstallBlock.exe".
-
Отладчик оказался в карантине легитимный, но уберем пожалуй, т.к его там быть не должно (если сами не устанавливали).
Выполните скрипт в AVZ (как выполнить):
Код:
begin
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
Проверьте закладку "Восстановление системы".
И еще - это домашний компьютер, или на работе в домене?
-
-
Junior Member
- Вес репутации
- 57
Новый лог сделал. Закладки "восстановление системы" нет. Ноутбук домашний.
-
Выполните скрипт в AVZ (как выполнить):
Код:
begin
BackupRegKey('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\SystemRestore', 'sysrest1');
BackupRegKey('HKEY_LOCAL_MACHINE', 'Software\Policies\Microsoft\Windows NT\SystemRestore', 'sysrest2');
end.
В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файлы:
sysrest1_<цыферки>.reg
sysrest2_<цыферки>.reg
Заархивируйте их в один архив и приложите здесь.
-
-
Junior Member
- Вес репутации
- 57
Скрипт выполнил, архив прилагаю. А может это корявst настройки сборки (сборка Windows XP SP3 AD'S ed. f-class v1.5)
-
Сие нужно спрашивать у автора этой сборки. Только ему ведомо, что он там наоптимизировал...
Похоже нужный ключ был совсем удален.
Попробуем починить, но надо выяснить еще параметры.
Выполните скрипт в AVZ (как выполнить):
Код:
begin
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\sr', 'sr');
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\sr', 'sr1');
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet002\Services\sr', 'sr2');
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet003\Services\sr', 'sr3');
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet004\Services\sr', 'sr4');
end.
В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файлы:
sr_<цыферки>.reg
sr1_<цыферки>.reg
sr2_<цыферки>.reg
sr3_<цыферки>.reg
sr4_<цыферки>.reg
Заархивируйте их в один архив и приложите здесь.
-
-
Junior Member
- Вес репутации
- 57
-
Все ключи отсутствуют.
Я зашел в тупик и не знаю, как починить восстановление системы.
Или живите так, без восстановления.
Или предъявляйте претензии к автору вашей сборки.
Или переустановите систему с нормального образа (не сборки).
-
-
Junior Member
- Вес репутации
- 57
Что ж, пока буду пользовать эту систему. Главное - основная проблема решена. Большое спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-