Показано с 1 по 10 из 10.

В реестре не отображаются ветки пользователей. (заявка № 115974)

  1. #1
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    25

    В реестре не отображаются ветки пользователей.

    Позавчера один из компов на работе словил винлокер. Из последних, как я понимаю, потому что мимо NOD32 просвистел незамеченно. Блокировал только вход тем пользователем, который его подцепил, как в обычном, так и в безопасном режиме. Администратором я мог зайти без проблем, но ... в реестре я не видел в разделе HKUS ветки того пользователя - только свою администратора и системные. Хоть и догадывался, что он сидит в локальном winlogon, но вычистить его оттуда не мог. Визуальный поиск по диску не помог обнаружить слишком подозрительные файлы, видимо они меняли дату. А те которые обнаружил - не смог удалить.

    Сегодня утром, после выхода очередного обновления NOD32 наконец при сканировании нашел и обезвредил эту заразу сразу в двух файлах, распознав в ней модифицированный Win32/Kryptik.ZVI. Блокировка снялась и я смог войти пользователем. В реестре обнаружил все ветви - и собственно пользователя и администратора. Определил. что запускались зловреды из HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run и из HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

    Вычистил реестр от следов. зашел снова Администратором - видится только собственная ветка. Ветка пользователя не видна! Создал еще одного администратора - та же картина.

    Что только не делал. Обнаружил, похоже еще странный неубиваемый процесс RtkBtMnt.exe, гнездящийся в локальных временных папках и мигрирующих между ними. Вроде бы удалил. Но ветки реестра не появились.

    В профайле пользователя лежит странный файл .exe - т.е. без имени. AVZ на него ругается но отложенное удаление не помогает, не говоря уже про обычное.

    Такое ощущение, что в системе еще остался какой-то руткит, маскирующий зараженную ветку реестра. Но найти не могу. Может быть как раз этот "безымянный" ... А может быть нет, какая разница, если все равно не удаляется.

    Поможите, кто чем может, люди добрые. сами мы не совсем дураки, но что-то концов не вижу.
    Вложения Вложения
    Последний раз редактировалось Никита Соловьев; 02.02.2012 в 19:03.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Pochemuk, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Обновите базы AVZ.
    Если базы не обновляются через меню Файл - Обновление баз,
    скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
    и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

    Отключите Восстановление системы (Приложение 1 правил).

    Пофиксите в HijackThis (как пофиксить):
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\5.tmp','');
     QuarantineFile('C:\Documents and Settings\Щаницын\.exe','');
     DeleteFile('C:\Documents and Settings\Щаницын\.exe');
     DeleteFile('C:\WINDOWS\system32\5.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.

    RtkBtMnt.exe восстановите где лежал, или переустановите Realtek HD Audio Data Rerouter.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    25
    1. Базы обновил.
    2. Скрипты выполнил. Правда, 5.tmp удалил еще вчера, но в карантине он присутствует. Сейчас вышлю.
    3. RtkBtMnt не восстанавливал - он уже самовосстановился сам и спокойно лежит в папках %TEMP% администраторского и пользовательского профайла. Правда, ключей его запуска под администратором не нашел. Если надо, поищу под юзером. Возможно, что я там это находил.

    Странный этот RtkBtMnt. Если это легальная программа, то почему она запускается из пользовательских %TEMP%? И почему самовосстанавливается?
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    G:\autorun.inf
    Это ваше?

    RtkBtMnt.exe можете проверить на virustotal.com.
    Восстанавливают его наверное другие компоненты программы Realtek HD Audio Data Rerouter.
    А зачем - это спрашивайте у ее авторов.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #6
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    25
    G:\autorun.inf - Это не моё. Это вакцинация флешки флешвакцинатором Panda USB Vaccine. Про него тут на конференции я и прочитал.

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Больше подозрений не имею.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #8
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    25
    Так ото ж ... И я тоже. Вроде бы все чисто, но ветки не видны. И если очередной зловред заползет, то я его уже не излечу, пожалуй ))

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Ну тогда подробней объясните - какие именно ветки, укажите их имена, из каких учеток они видны, из каких нет.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  12. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\щаницын\\.exe - Backdoor.Win32.Bredolab.xky ( BitDefender: Gen:Variant.Kazy.39611, AVAST4: Win32:MalOb-HN [Cryp] )


  • Уважаемый(ая) Pochemuk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 13
      Последнее сообщение: 12.08.2009, 11:55
    2. блокировка создания ветки DllCache
      От emoxam в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.08.2008, 17:39
    3. Релиз FreeBSD ветки 7.0
      От Numb в разделе Linux
      Ответов: 0
      Последнее сообщение: 29.02.2008, 01:18
    4. Лишние ветки в реестре, службы и кое-что еще:)
      От Ноябрь в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.10.2007, 10:22

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00854 seconds with 17 queries