Показано с 1 по 6 из 6.

Вирус с флешки подпортил реестр (заявка № 190087)

  1. #1
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    231
    Вес репутации
    33

    Вирус с флешки подпортил реестр

    Ситуация в следующем: на работе принесли флешку с вирусом. После нее перестал запускаться диспетчер задач при нажатии ctrl+alt+del, чтобы войти в систему теперь нужно дважды кликать на ярлык профиля (раньше автоматически загружался раб. стол), при первом запуске HiJackThis с панели быстрого запуска вылазит сообщение об ошибке что не хватает памяти. Сканирование через cureit, MalwareBytes результата не дало. По всей видимости вирус повредил реестр, но что именно не могу понять. Лог AVZ и HiJackThis прилагаю. Система WinXP x64.

    p.s. реестр восстановил самостоятельно, теперь все работает как надо.
    Последний раз редактировалось webdesigner; 17.09.2015 в 13:15.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) webdesigner, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,691
    Вес репутации
    3028
    Сомнительно, что дело в вирусах

    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\WINDOWS\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t64.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\tStLibG64.sys','');
     TerminateProcessByName('c:\documents and settings\administrator\local settings\temp\53b50643-32090e2d-f43c34de-54617d15\whks5hydo.exe');
     QuarantineFile('c:\documents and settings\administrator\local settings\temp\53b50643-32090e2d-f43c34de-54617d15\whks5hydo.exe','');
     DeleteFile('c:\documents and settings\administrator\local settings\temp\53b50643-32090e2d-f43c34de-54617d15\whks5hydo.exe','32');
     DeleteFile('C:\WINDOWS\system32\drivers\tStLibG64.sys','32');
     DeleteFile('C:\WINDOWS\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t64.sys','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    231
    Вес репутации
    33
    Да, на моей памяти такое впервые, чтобы вирус не оставлял следов, а только портил реестр. Но я не думаю что это никак не связано с вирусом на флешке, слишком много совпадений:
    компьютер сразу завис когда вставил флешку (исчезла панель "пуск" и панель быстрого запуска), сразу же появились вышеперечисленные проблемы. Когда вставил флешку в другой компьютер там USB Disk Security тут же сообщил об опасности и удалил 2 потенциально опасных файла (autorun.ini и еще какой-то, не помню уже).
    Выполнил скрипты, файл карантина:
    Файл сохранён как 150918_130900_quarantine_55fbd4ac97322.zip
    Размер файла 3093176
    MD5 a7ba8dc1b9b5f69bf16dc541eedd697e

    повторные логи прикреплены.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,691
    Вес репутации
    3028
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) webdesigner, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Внутри флешки создается ярлык самой флешки
      От Araksasus в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.06.2013, 09:05
    2. Ответов: 2
      Последнее сообщение: 10.06.2013, 19:09
    3. вирус наверное внес изменения и реестр
      От dimkont в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.08.2009, 20:35
    4. Вирус: ДЗ и реестр отключены
      От Khabby в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 09:42
    5. Вирус постоянно отключает ДЗ и реестр
      От sens в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.11.2008, 23:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00834 seconds with 16 queries