Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 51.

Супер Вирус-вымогатель полностью поразил систему. (заявка № 21133)

  1. #1
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    50
    Вес репутации
    38

    Thumbs up Супер Вирус-вымогатель полностью поразил систему.

    Всем привет.
    Вот столкнулся по собственной глупости с этим вирусом..если я правильно понял это модификация Trojan.Win32.Agent.il (KAV), Trojan.Griven (DrWeb) http://virusinfo.info/showthread.php?t=3584 ..только он походу намного сильнее.
    Симптомы теже самые что у тех вирусов, при входе в систему пишет окно с вымогательством денег за что якобы вышлют программу лечилку(в чем сильно сомневаюсь) и просят 500 рублей или 10 долларов выслать на эмейл через пополнение счета.
    При входе в систему блокируются все служюы(диспетчер, все exe файлы и еще дургие разрешения, побит винрар архиватор(винзип ток и выручает), командная строка, сильно обрезано меню пуск, проводник), виесто часо неценз слово, рабочей стол изуродован, вобщем условно говоря работает только интернет эксплорер для того чтоб мог отправить эмейл с пополнением(опера тож не фурычит..), отличается от предыдущих модификаций своей большей предусмотрительностью к способам лечения(не работает командная строка, экзешника), с очень большими мучениями всеже удалось запустить авз, при помощи хорошего совета переименовать его в IEXPLORE. После того как удалось его запустить сделал обновление, сделал сканирование системного диска(ничего не обнаружил по сути из опасного) и выполнил как советовалось в предыдущих модификациях полное восстановление в авз, это был полный крах
    все это финита ля комедиа..вирус безсмертный, который учитывает все возможные способы атаки..
    кароче запустил я авз и просканил систему, ничего не нашло..ну я как было написано выполнил полное восстановление, перегрузил комп и что..тоже самое только еще хуже..системе еще хуже стало..даже ИЕ не запускался, а рабочий стол вообще полностью черный стал..я уж думал идти вешаться, но решил еще проверить 2-й аккаунт(у меня их слава богу было 2) и там все по сути тоже самое что и до этого было..но хоть ИЕ как и раньше работает..вобщем пройдя снова кучу этапов мучений добрался до авз(ох как это было не просто..) ...вобщем не знаю че даж делать..уже стремно чето жать..потому что это последний аккаунт..и если и сейчас что-то не так случится то потом даж в инэт не смогу зайти..походу создатели вируса(ох добраться бы до них ) в последней модификации все предусмотрели и то что произошло с предыдущим аккаунтом(пользователем) было наказанием за попытку удалить вирус..
    вот ссылка на тему где есть много про мой бой с вирусом- http://virusinfo.info/showthread.php?t=3584&page=4
    Пожалуйста помогите, потому что этот вирус меня уже добил..

    извените паролей на архивах нету т.к. в моей ситуации их очень непросто установить..

    т.к. у меня почему то не работает кнопка добавления файлов пришлось их залить..вот ссылки на них:
    http://shareua.com/files/show/960351...kthis.log.html
    http://shareua.com/files/show/960361...check.zip.html
    http://shareua.com/files/show/960371...scure.zip.html
    Последний раз редактировалось mantikora; 07.04.2008 в 02:43.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    C:\WINDOWS\WinSxS\Manifests\explorer.exe
    C:\WINDOWS\Provisioning\Schemas\lsass.exe
    desktop(2).ini

    Вот это попробуй засунуть в карантин через AVZ и прислать. Можно их оттуда же и попробовать пристрелить.
    Хотя, я бы попробовал сделать это с LiveCd.

    Сейчас посмотрю логи AVZ,

    Добавлено через 5 минут

    Загрузиться с LiveCd, запустить regedit, подключить удаленный реестр.
    Аккуратно удалить след. ключи:
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

    После этого м.б. получим доступ к реестру.
    Последний раз редактировалось PavelA; 07.04.2008 в 10:36. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    50
    Вес репутации
    38
    Цитата Сообщение от PavelA Посмотреть сообщение
    C:\WINDOWS\WinSxS\Manifests\explorer.exe
    C:\WINDOWS\Provisioning\Schemas\lsass.exe
    desktop(2).ini

    Вот это попробуй засунуть в карантин через AVZ и прислать. Можно их оттуда же и попробовать пристрелить.
    Хотя, я бы попробовал сделать это с LiveCd.

    Сейчас посмотрю логи AVZ,

    Добавлено через 5 минут

    Загрузиться с LiveCd, запустить regedit, подключить удаленный реестр.
    Аккуратно удалить след. ключи:
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

    После этого м.б. получим доступ к реестру.
    слова м.б. страшно смотрятся))т.к. последний аккаунт где мне еще разрешен доступ в инэт, так что все как это сделаю может даже отписаться не смогу))))
    сейчас скачаю Windows.LiveCD , правда я им еще не пользовался никогда так что не знаю выйдет ли..
    Последний раз редактировалось mantikora; 07.04.2008 в 13:41.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от mantikora Посмотреть сообщение
    слова м.б. страшно смотрятся))т.к. последний аккаунт где мне еще разрешен доступ в инэт, так что все как это сделаю может даже отписаться не смогу
    Если есть возможность - сохраните важные файлы на флешке или внешнем харддиске.

  6. #5
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    50
    Вес репутации
    38
    Live cd не могу запустить..т.к. а)не могу скачать через торрент со своего региона т.к. торрент файлы блокированы, а с внешки буду очень долго качать.. б)не могу записать на диск(неро блокирован)
    есть ли какие-то варианты решения этой проблемы через авз?

    Добавлено через 13 минут

    кстати еще одна из особеностей вируса, кроме того что не можешь открыть ни одну папку а в моем компьютере нету ни диска С ни Д, то можно выйти через блокнот-открыть добраться до моего компьютера и там все будет видно кроме системного диска С......но я нашел способ лазить по диску С всетаки..но там скрыты папки виндоус, документс и сетингс, програм файлз..
    вирус гениальный ничего не скажешь..

    Добавлено через 10 минут

    кстати пока лазил в интернете нашел вот что, может пригодится..

    Здравствуйте.
    Действительно, файл Key.exe - троянская программа Trojan.Win32.Krotten.b, с весьма неприятными свойствами.
    Ранее мы детектировали аналогичную программу того же автора. Но эта модификация в отличие от предыдущей не удаляет и не портит никаких файлов на Вашем компьютере, но лишь изменяет некоторые ключи реестра - настройки системы, так, чтобы обычный порядок работы был нарушен. Поэтому для устранения последствий работы этой прогшраммы могу предложить Вам два пути:
    1. Наиболее привычный для пользователей - обчная переустановка Windows, с целью восстановиь стандартные настройки системы.
    2. Восстановить настройки системы вручную. Для этого понадобится отредактировать некоторые ключи реестра. Необходимо использовать редактор реестра отличный от стандартного regedit.exe, входящего в состав Windows. В интернете таких инструментов для свободного использования много (например, Reg Organizer).

    Запустите редактор на пострадавшей машине и произведите следующие изменеия в ключах реестра: (-> означает "измените значение на", HKULM - HKEY_LOCAL_MACHINE, HKCU - HKEY_CURRENT_USER)

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption "DANGER" -> ""
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail wordsia@walla.com код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления э..." -> ""

    HKLM\Software\Microsoft\Windows\CurrentVersion\Win logon\LegalNoticeCaption "DANGER" - > ""
    HKLM\Software\Microsoft\Windows\CurrentVersion\Win logon\LegalNoticeText "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail wordsia@walla.com код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления э..." -> ""


    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR 0x1 -> 0x0
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\RPLifeInterval 0x1 -> 0x76a700

    HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Start_ShowRun 0x0 -> 0x1

    HKCU\Software\Microsoft\Internet Explorer\Main\Window title SUCCESS ":::::::::: Мой ПИЗДОРЕЗ ::::::::::" -> "Microsoft Internet Explorer"
    HKLM\Software\Microsoft\Internet Explorer\Main\Window title SUCCESS ":::::::::: Мой ПИЗДОРЕЗ ::::::::::" -> "Microsoft Internet Explorer"
    HKCU\Software\Microsoft\Internet Explorer\Main\Start Page "http://poetry.rotten.com/uday/index19.html" -> "about:blank"
    HKLM\Software\Microsoft\Internet Explorer\Main\Start Page "http://poetry.rotten.com/uday/index19.html" -> "about:blank"


    HKCU\Control Panel\Desktop\MenuShowDelay 9999 -> 400
    HKCU\Control Panel\International\sTimeFormat "БЛЯДЬ" -> "H:mm:ss"

    Создайте ключ реестра:
    HKEY_CLASSES_ROOT\regfile\shell\open\command "regedit.exe "%1" "
    Измените:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDesktop 0x1 -> 0x0
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoActiveDesktop 0x1 -> 0x0
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoViewOnDrive 0x18 - удалите ключ
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoClose 0x1 ->0x0
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoControlPanel 0x1 -> 0x0
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\StartMenuLogoff 0x1 -> 0x0
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDrives 0x414 - удалите ключ

    HKLM\SYSTEM\CurrentControlSet\Services\lanmanserve r\parameters\DiskSpaceThreshold 0x99 - удалите ключ

    Нижеприведенные ключи можно просто удалить:
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserClose 0x1
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoNavButtons 0x1
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoSelectDownloadDir 0x1
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserContextMenu 0x1
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions 0x1
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserClose 0x1
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoNavButtons 0x1
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoSelectDownloadDir 0x1
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserContextMenu 0x1
    HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions 0x1
    HKCU\Control Panel\Desktop\WallpaperOriginX "210"
    HKCU\Control Panel\Desktop\WallpaperOriginY "187"
    HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\NoViewContextMenu 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Start_ShowRun 0x0
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuPinnedList 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuMFUprogramsList 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuSubFolders 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoCommonGroups 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMMyPictures 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuMyMusic 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMMyDocs 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDesktop 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoActiveDesktop 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoViewOnDrive 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoControlPanel 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDrives 0x414
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoRun 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoFind 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoFavoritesMenu 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoRecentDocsMenu 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoLogOff 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoClose 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSaveSettings 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoUserNameInStartMenu 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoToolbarCustomize 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoThemesTab 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMHelp 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoPrinterTabs 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoPrinters 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoNetHood 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoManageMyComputerVerb 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\NonEnum\{20D04FE0-3AEA-1069-A2D8-08002B30309D} 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\NonEnum\{450D8FBA-AD25-11D0-98A8-0800361B1103} 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Uninstall\NoAddRemovePrograms 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\NoViewContextMenu 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Start_ShowRun 0x0
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuPinnedList 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuMFUprogramsList 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuSubFolders 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoCommonGroups 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMMyPictures 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuMyMusic 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMMyDocs 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDesktop 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoActiveDesktop 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoViewOnDrive 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoControlPanel 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDrives 0x414
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoRun 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoFind 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoFavoritesMenu 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoRecentDocsMenu 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoLogOff 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoClose 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSaveSettings 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoUserNameInStartMenu 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoToolbarCustomize 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoThemesTab 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMHelp 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoPrinterTabs 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoPrinters 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoNetHood 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoManageMyComputerVerb 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\NonEnum\{20D04FE0-3AEA-1069-A2D8-08002B30309D} 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Uninstall\NoAddRemovePrograms 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\NoDispCPL 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr 0x1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\NoDispCPL 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr 0x1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools 0x1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \scheldhlp "C:\WINDOWS\system32\scheldhlp.exe"
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \LocalServer32 "C:\WINDOWS\system32\oobe\LocalServer32.exe"

    если бы это(у меня врое похожий случай) можно было бы как-то адаптировать под код выполнения в авз(которое я могу запустить) то что-то вышло бы..??

    Добавлено через 9 минут

    ура..пройдя через невероятные испытания я все же смог скачать и установить Reg Organizer 4.20, что теперь делать??а то боюсь че-то нето сделать..

    Добавлено через 2 минуты

    в ней вроде получил доступ практически к всей системе(даже автозагрузка) ..только бы знать что редактировать..

    Добавлено через 30 минут

    редактировать ничего в реестре не могу через рег органайзер пытался удалить HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    ..пишет что не возможно выполнить и возвращает как было..вобщем и права доступа к реестру без лайв сд я так понял я изменить не смогу..
    Последний раз редактировалось mantikora; 07.04.2008 в 17:04. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Попробуй убить те ключи, связанные с политиками:
    Код:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
    Если трой их не восстановит, то считай полдела сделал.

    Дальше из раздела Run удали строчки для запуска поддельных explorer & lsass
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    50
    Вес репутации
    38
    что снести всю эту папку??
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies

    в ней 5 разделов..
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\NonEnum
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Ratings
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\System
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Uninstall

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Давай тогда по частям.
    Вот этот ключик пропробуй для начала просто грохнуть:
    Код:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools 0x1
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    50
    Вес репутации
    38
    не выходит, выделил, нажал delete.. Пишет: "AdminApp error occured. Error number 4."

    Добавлено через 42 минуты

    мда уж с каждым часом все веселее и веселее..ничего не скажешь((
    итак решил я еще раз посмотреть что творится под тем пользователем на котором я в авз выполнил восстановление полное..итак нашел пару интересных отличий, итак
    минусы
    1 в нем не запускаются уже все типы файлов, кроме медаи файлов. даже блокнот теперь нефурычит, а ворд просто не реагирует на 2-й ной клик..
    2 в нем не помогает переименование в IEXPLORER, файлы всеравно не открываются, пишет не прав и т.д.

    плюсы1 в нем теперь есть хоть какой-то доступ к панели управления(я на всякий случай создал еще 4-х пользователей с правами администратора)

    2 поиск заработал..

    3 в нем можно добраться до диска С(но не видно програм файлз, документ и сетингз, виндоус) и даже до рабочего стола, и тут еще одна странность, с рабочего стола почему то работает ярлык интернет эксплорер.......(Internet Explorer), вобщем я уже ничего не понимаю..интересно было бы попробывать какнибудь запустить в этом пользователе редактор регистра(мож чет новое вышло бы сделать..), но покачто не выходит..

    вобщем это самый странный вирус что я когда либо видел.........................
    Последний раз редактировалось mantikora; 07.04.2008 в 18:16. Причина: Добавлено

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Есть мини LiveCD 130Mb попробуй его скачать, или Hirien Boot Cd 60Mb
    иначе похоже вряд ли чего получиться.

    Второй вариант: снять винт и сходить к другу. Проверить винт с другого компьютера.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    50
    Вес репутации
    38
    урааа))есть прогресс..я решил рискнуть раз уж всеравно нету особого выхода AVZ, и выполнил на этот раз в восстановлении только 1-н пункт-удаление всех Polices текущего пользователя. Перегрузил комп и случилось чудо))итак лучше стал функцонировать этот аккаунт вот что открылось
    1)восстановилось меню пуск
    2)работает командная строка
    3)запускаются всякие программы и даже антивирусы(кроме др веб, на нем почему то старое сообщение с ограничением прав) )

    вобщем боюсь терь что-то нажимать и еще что-то делать чтобы не испортить то чего уже достиг..что мне дальше делать чтобы удалить оставшиеся проблемы??

    Добавлено через 37 минут

    но редактировать регистр всеравно не могу..пишет нет прав доступа..попробывал в восстановлении выполнить еще 3 пункта: разблокировка диспетчера задач, восстановление параметров запуска exe.., восстановление рабочего стола, вместо чего получил то что все вернулось к тому что было до этого..но слава богу смог снова выполнить удаление всех polices и снова вернулся на точ что получил до этого....вобщем какой-то замкнутый круг..что делать..??
    Последний раз редактировалось mantikora; 07.04.2008 в 19:23. Причина: Добавлено

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    давайте сделаем логи ... начиная с пункта 10 правил ...

  14. #13
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    50
    Вес репутации
    38
    вот..
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    50
    Вес репутации
    38
    кстати у меня теперь еще и со старта начало вылазить такое предупреждение

    "---------------------------
    !!! DANGER ПРОЧИТАЙ ЭТО ВАЖНО !!!
    ---------------------------
    Где бы вы не скачали эту программу. Единственно верный e-mail адрес wmcard@box.az Не видитесь не на какие предлоги под которыми вас просят каким либо другим способом выйти на связь! Вы потеряете и ДЕНЬГИ И ВСЮ ИНФОРМАЦИЮ!!! Распространять мою программу может любой и писать тоже что угодно желая подзаработать. Но дать вам фаил удаления как и изменить настоящий e-mail указанный ТУТ wmcard@box.az могу только Я. Перезагрузите компьютер! И почитайте, что необходимо предпринять…
    ---------------------------
    ОК
    ---------------------------"

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ....
    Код:
    begin
     QuarantineFile('C:\Documents and Settings\MaNtIkOrA(2)\Главное меню\Программы\Автозагрузка\desktop(2).ini','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Visual Styler\Logon Screens\logonui2.exe','');
     QuarantineFile('C:\WINDOWS\Provisioning\Schemas\lsass.exe','');
     QuarantineFile('C:\WINDOWS\WinSxS\Manifests\explorer.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS','');
     QuarantineFile('C:\Program Files\TVTool 9.5\tvtool.sys','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true)
    end.
    пришлите карантин согласно приложения 3 правил ....
    авз Мастер поиска и устранения проблем - выбрать все проблемы устранить ....

  17. #16
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    50
    Вес репутации
    38
    итак выполнил сприкт, после чего перегрузил комп..и снова все стало плохо..снова урезан пуск..пропал рабочий стол, нет допуска к файлам..после чего выполнил мастер поиска и устранения проблем..много че он понаходил и вроде написал что успешно их исправил..в итоге всеравно нет допуска к файлам..но зато заработал диспетчер задач..правда я еще не выполнял перезагрузку компьютера..после этого скинул карантин "Файл сохранён как 080407_124058_virus_47fa5caa10666.zip " .
    Что теперь делать??Снова авз-файл-восстановление-удалить polices ??

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\Provisioning\Schemas\lsass.exe');
     DeleteFile('C:\WINDOWS\WinSxS\Manifests\explorer.exe');     
     BC_ImportDeletedList;
     ExecuteRepair(6);     
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  19. #18
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    50
    Вес репутации
    38
    урааа))вышло))СПАСИБО!!!!!!!!!!!!!!!!!
    ух аж снял камень с души))или даже скорее целый небоскреб..))
    все вроде нормально работает..виндовс, програм файлз и время я уже сделал нормальными..так что тут все отлично
    единственное что еще остается вопрос, у меня чет не видит флэшку.. и еще хотел спросить могу ли я зайти под своим старым пользователем теперь или вирус может перекинуться??

  20. #19
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Сделайте новый комплект логов из под этой же учётки пользователя.

  21. #20
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    50
    Вес репутации
    38
    вот..
    Вложения Вложения

  • Уважаемый(ая) mantikora, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Вирус поразил работу в локальной сети
      От irina_ptgh в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 16.07.2009, 08:43
    2. ПОМОГИТЕ ВИРУС ПОРАЗИЛ КОМП :(
      От koskoskos в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.11.2008, 14:48
    3. Пользователей «ВКонтакте.Ру» поразил вирус
      От Bratez в разделе Вредоносные программы
      Ответов: 100
      Последнее сообщение: 07.06.2008, 15:18
    4. Европейский интернет поразил новый футбольный вирус
      От MOCT в разделе Новости интернет-пространства
      Ответов: 1
      Последнее сообщение: 12.06.2006, 18:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00019 seconds with 17 queries