BackDoor.Generic.1138 последствия

**she1est** · 27.06.2007, 18:11

Система была заражена BackDoor.Generic.1138, я совершила все действия по пунктам, как у вас указано в правилах. Антивирусник больше ничего не находит) Но! Осталась проблема с системой. Не работает обычная загрузка Windows, как и раньше (вирусы удаляла в безопасном режиме). Потом, после того, как я удалила вирусы, стало появляться сообщение при загрузке Безоп Реж. "Windows не удается найти с:\windows\explorasi.exe".В реестор зайти не могу, запрещено. А в мсконфиге убрала из авторана все вирусные проги...эксплораси там не было.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 27.06.2007, 18:18

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\admin\Шаблоны\Brengkolang.com','');
 QuarantineFile('C:\WINDOWS\eksplorasi.exe','');
 QuarantineFile('C:\WINDOWS\system32\scvhost\svchost.exe','');
 QuarantineFile('C:\WINDOWS\svchost.com','');
 QuarantineFile('C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe','');
 DeleteFile('C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe');
 DeleteFile('C:\WINDOWS\system32\scvhost\svchost.exe');
 DeleteFile('C:\WINDOWS\svchost.com');
 DeleteFile('C:\WINDOWS\eksplorasi.exe');
 DeleteFile('C:\Documents and Settings\admin\Шаблоны\Brengkolang.com');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe

Пришлите файлы карантина по правилам раздела "Помогите". Сделайте логи в нормальном режиме.

**she1est** · 27.06.2007, 19:03

черт( куда пропало второе сообщение. Я пофиксила Хайджак так как сказал парень, который уже удалил сообщение) замечательно. После этого пропало сообщение о том, что не могут нафти explorasi.exe. Теперь задача осуществить норм загрузку винды. Стала скрипт прогонять в авп так, как сказал Максим. Все вылетело на конечном этапе..перезагрузилось, проболема осталась..и теперь самое замечательное - комп не знает што делать с .exe файлами, просит выбрать программу, с помощью которой открыть. На эксплорер не реагирует. Теперь у меня не работают проги. класс. че делать-то( Хэлп и плизз(

**she1est** · 27.06.2007, 19:08

а..ну да..сработала комманда ребут виндоуз...а ехе-то почему не открываются...эксплорер сдох?

**Bratez** · 27.06.2007, 19:08

Нестандартный ключ Shell\Open для "exefile": "C:\WINDOWS\svchost.com "%1" %*"

Есть ненулевая вероятность того, что после удаления означенного svchost.com программы перестанут запускаться - система будет требовать этот самый svchost.com!
Если такое случится, для исправления нужно создать текстовый файл, скопировать туда нижеприведенный код и сохранить файл с расширением .reg а потом сделать по нему двойной клик.

Код:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

**PavelA** · 27.06.2007, 19:10

Надо переименовать Avz.exe в avz.com и запустить.
Затем файл - восст. системы - п.1 - выполнить. Должно восстановиться.

**Bratez** · 27.06.2007, 19:11

Вот, пока сочинял, все и подтвердилось

Кстати да, через AVZ будет проще
(забыл, что ее можно запустить как .com

)

**she1est** · 27.06.2007, 19:38

ооооокееей) в реестр все команды bratez прописались экзешники снова работают. Но я все так же не могу норм загрузить виндоуз. Максовский авп-скрипт к сожелению выбивает svchost а hijack fix - сделала. все....теперь как решать трабл? не могу ж я вечно в безопасном режиме сидеть))

**Макcим** · 27.06.2007, 19:43

Максовский авп-скрипт к сожелению выбивает svchost

Как это выбивает svchost? Мой скрипт убивает зловреда и ни чего больше. Давайте повторные логи в безопасном режиме. NOD случайно не установлен? Если установлен, удаляйте и загружайтесь в нормальном режиме.

**PavelA** · 27.06.2007, 19:44

Логи нужны, пусть даже из Safe Mode.

Есть вопросик: антивирус от Симантека работает?
Он должен конфликтовать с Доктором Вебом.

Давайте остановим все сервисы Симантека и попробуем загрузиться.

**she1est** · 27.06.2007, 19:48

Да кстати, нод и семантик был..но они не удалялись. это не мой комп..его отвозили на починку в одну контору..там намудрили..попытаюсь удалить счс. и логи с меня. ок

**she1est** · 27.06.2007, 19:49

все процессы других антивирусников я уже давно остановила....

**PavelA** · 27.06.2007, 19:50

Тогда не торопитесь. Скажите какой антивирус живой? Второго удалим.

**she1est** · 27.06.2007, 20:10

сементек жив. но он я его из мсконфига удалила..то есть он не запускается при загрузке. Кстати, регэдит заработал)) ура). Все осталось ток вернуть его к жизни в небезопасном режиме)) вот мои логи

**she1est** · 27.06.2007, 20:17

Сообщение от Maxim

Как это выбивает svchost? Мой скрипт убивает зловреда и ни чего больше. Давайте повторные логи в безопасном режиме. NOD случайно не установлен? Если установлен, удаляйте и загружайтесь в нормальном режиме.

а...простите) гоню) тогда не знаю почему после скрипта ехе не работают(....

**PavelA** · 27.06.2007, 20:20

в AVZ выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('spidernt');
 QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll','');
 BC_DeleteFile('C:\Program Files\Internet Explorer\msvcrt.dll');
 BC_DisableSvc('spidernt');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
ExecuteSysClean;
end.

Попробовать загрузиться в нормальном режиме. Может не работать
IE.

**PavelA** · 27.06.2007, 20:21

Сообщение от Maxim

Как это выбивает svchost? Мой скрипт убивает зловреда и ни чего больше. Давайте повторные логи в безопасном режиме. NOD случайно не установлен? Если установлен, удаляйте и загружайтесь в нормальном режиме.

Нестандартный ключ Shell\Open для "exefile": "C:\WINDOWS\svchost.com "%1" %*"

Что-то плохо пролечился этот ключик в реестре.

**she1est** · 27.06.2007, 20:35

Сообщение от PavelA

в AVZ ...

Попробовать загрузиться в нормальном режиме. Может не работать
IE.

не сработало..все по-старому( В чем же может быть проблема...

**PavelA** · 27.06.2007, 20:42

Профиксить еще эти строчки:

O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Что-то система пишет когда не грузится или просто сразу черный экран и все?