Не реагирует на Ctr+Alt+Del

[ajrat]

Поймал гадость, после лечения, при загрузке в C:\WINDOWS\Temp появлялся файл startdrv.еxe. Ни какой антивирус не мог справится, точнее после перезагрузки этот файл опять был на месте. Нашел Ваш сайт. Попытался все сделать по правилам, но после пункта 8, при перезагрузки компьютер не пускает в систему, тончее не реагирует на Ctr+Alt+Del ни в нормальном режиме, не в режиме защиты от сбоев .

[drongo]

выполните правила до конца(для этого Ctr+Alt+Del)не нужен.

[ajrat]

Я не могу войти в систему после перезагрузки компьютера. Как мне запускать AVZ для пункта 10?

[drongo]

значит сейчас с другого компьютера нам пишите ?
Совсем не грузиться ? Пуск- Выполнить работает ?

[ajrat]

Да пишу с другого компьютера. Не повляется рабочий стол. Загрузка доходит до момента регистрации, где просит перед тем как ввести логин и пароль нажать комбинацию Ctr+Alt+Del, нажимаю, а такое ощющение, что клавиатура не работает. Ни какой реакции.

[Bratez]

А может правда просто клавиатура отвалилась?

[pig]

Остаётся вынимать диск, цеплять к другому компьютеру и сканировать антивирусом. Либо грузиться с CD.

Добавлено через 5 минут

А может правда просто клавиатура отвалилась?

Кстати, вариант. Иногда бывает, что не отвалилась, а заглох контроллер, и спасает только холодная перезагрузка - с полным отключением питания.

[ajrat]

Клавиатура не отвалилась, т.к. это нотбук. С CD загрузил WinPE на флешку скинул папку LOG с AVZ который он сделал в пункте 8. Может его прилать?
Такое ощущение, что вирус снес драйвер клавиатуры, т.к. когда нажимаешь вместо Ctr+Alt+Del просто Entr в рабочей системе выдается справка, а сдесь ни на чте не риагирует, даже когда мышкой кликаю по надписе "Справка" в окне приглашения.

[Bratez]

Может его прилать?

Конечно, давайте!

[ajrat]

Закачал папку LOG прадварительно заархивировав его.

[Bratez]

Для начала с помощью WinPE
1. Очистите папки:
C:\Documents and Settings\Игорь.SUPERSAN\Local Settings\Temp\
C:\RECYCLER\
C:\WINDOWS\Temp\
2. Найдите и удалите файлы:
C:\WINDOWS\system32\svshost.dll
C:\WINDOWS\system32\drivers\runtime2.sys

Попробуйте войти в систему. О результатах отпишитесь.

[ajrat]

Не нашел файл runtime2.sys, остальное все удалил.
Результат не изменился, клавиатура не риагирует.

[Bratez]

Запустите еще раз WinPE, скопируйте папку Infected из AVZ и пришлите ее в виде архива с паролем virus.

[ajrat]

Сделано

[Bratez]

Попробуйте восстановить из этой папки:
avz00004.dta => C:\Program Files\iks\datview.exe
avz00006.dta => C:\WINDOWS\system32\drivers\iks.sys
Imho, это единственный шанс.

[drongo]

Лучше этот ключ удалить.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesi ks
4D36E96B-E325-11CE-BFC1-08002BE10318UpperFilters=kbdclass


http://www.spywareremove.com/removeikssys.html


2Bratez, Зачем тогда клавиатура , если всё напечатанное уходит владельцу кейлоггера

[Bratez]

drongo, если бы была возможность войти в систему!
Если восстановление сработает, будем опять удалять, но более корректно

[ajrat]

Спасибо, в систему вошел. Лечение продолжу завтра, надеюсь под вашим чутким руководством. Сейчас надо идти.

[Bratez]

Хорошо! Сделать надо будет следующее.

1. Изменить способ входа пользователей, чтобы не надо было жать Ctrl-Alt-Del, лучше убрать на время пароль и включить экран приветствия.

2. Выполнить скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('datview.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\iks\4D36E96B-E325-11CE-BFC1-08002BE10318','UpperFilters');
 DeleteFile('C:\Program Files\iks\datview.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\iks.sys');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

(последует перезагрузка).

3. Сделать новые логи.

[ajrat]

Сделал как Вы советовали.
Опять после 8 пункта "отвалилась" клавиатура, но мышь работает. В систему вошел и остальные пункты правила доделал. Файлы прикрепляю.