вирус закрыл доступ к regedit, taskmgr

**shaihkritzer** · 02.05.2008, 22:49

с флешки было запущено что то вроде my pictures.exe, после чего перестали работать regedit, takmgr (доступ закрыт администратором, хотя моя учётная запись на компе единственная и является админской). msconfig запускается. включить доступ к regedit, taskmgr через gpedit не вышло. пытался прогнать скрипты из этой темы - ничего не получилось. так же пытался запустить через "восстановление настроек системы" пункты 11 и 17 - после выполнения ничего не изменилось. через Hijackthis тоже ничего не получается.
ОС - ХР SP2

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**shaihkritzer** · 02.05.2008, 22:52

логи отдельным сообщением, в прошлый раз глюкнуло а редактировать не пускает

**Rene-gad** · 02.05.2008, 22:53

пытался прогнать скрипты из этой темы

и на эту тему - Читайте правила

У нас запрещено выполнять скрипты написанные для других! Каждый случай уникален.Вы можете тем самым нанести не поправимый вред вашему компьютеру и нашему сервису.
За последствия, наступившие в случае невыполнения данного пункта, портал Virusinfo ответственности не несёт!

**Rene-gad** · 02.05.2008, 23:04

Пофиксить

Код:

F2 - REG:system.ini: Shell=Explorer.exe taskmger.com
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [userd] C:\WINDOWS\RECYCLER\systems.com
O4 - Startup: AutorunsDisabled

Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('H:\RECYCLER\systems.com','');
 QuarantineFile('G:\RECYCLER\systems.com','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('F:\RECYCLER\systems.com','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('C:\RECYCLER\systems.com','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('c:\windows\system32\taskmger.com','');
 DeleteFile('c:\windows\system32\taskmger.com');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\RECYCLER\systems.com');
 DeleteFile('F:\autorun.inf');
 DeleteFile('G:\autorun.inf');
 DeleteFile('G:\RECYCLER\systems.com');
 DeleteFile('H:\RECYCLER\systems.com');
 DeleteFile('H:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Карантин после перезагрузки закачать по правилам и повторить логи.

**shaihkritzer** · 03.05.2008, 00:54

да тут не в правилах дело, просто я думал это один и тот же вирус

после прогона скрипта появилось следующее сообщение:
invalid data type for "
сообщения что скрипт выполнен успешно не было.

теперь при запуске винды появляется следующее:
Taskmger.com
windows не удалось найти 'taskmger.com'. Проверьте бла бла бла
и единственная кнопка ОК.

taskmgr и regedit так и не работают

**wise-wistful** · 03.05.2008, 01:09

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

F2 - REG:system.ini: Shell=Explorer.exe taskmger.com
O4 - HKLM\..\Run: [userd] C:\WINDOWS\RECYCLER\systems.com
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\RECYCLER\systems.com');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

Повторите логи начиная с п.10 правил

**shaihkritzer** · 03.05.2008, 01:36

При попытке пофиксить два раза появилось сообщение
редактирование реестра запрещено администратором.

Прогон скрипта опять закончился сообщением invalid data type for "
копировал всё как есть

после перезагрузки сообщение о не найденном taskmger пропало.

Taskmgr и regedit так и не работают.

**wise-wistful** · 03.05.2008, 01:43

Попробуйте пофиксить

Код:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Напишите получилось или нет.

**shaihkritzer** · 03.05.2008, 01:53

получилось. после перезагрузки стал работать regedit. taskmgr не работает.

**wise-wistful** · 03.05.2008, 01:57

Теперь выполните в АВЗ

Код:

begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
RebootWindows(true);
end.

**shaihkritzer** · 03.05.2008, 02:09

теперь скрипт прошёл успешно и всё работает. спасибо

больше ничего не нужно делать?

**wise-wistful** · 03.05.2008, 02:14

Подозрительного в логах больше ничего не видел.

Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

**CyberHelper** · 22.02.2009, 05:09

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 15
В ходе лечения обнаружены вредоносные программы:
1. c:\\recycler\\systems.com - Worm.Win32.AutoRun.pk (DrWEB: Win32.HLLW.Autoruner.243)
2. c:\\windows\\system32\\taskmger.com - Worm.Win32.AutoRun.pk (DrWEB: Win32.HLLW.Autoruner.243)
3. f:\\recycler\\systems.com - Worm.Win32.AutoRun.pk (DrWEB: Win32.HLLW.Autoruner.243)
4. g:\\recycler\\systems.com - Worm.Win32.AutoRun.pk (DrWEB: Win32.HLLW.Autoruner.243)
5. h:\\recycler\\systems.com - Worm.Win32.AutoRun.pk (DrWEB: Win32.HLLW.Autoruner.243)

вирус закрыл доступ к regedit, taskmgr (заявка № 22378)

Опции темы

вирус закрыл доступ к regedit, taskmgr

Итог лечения

Похожие темы

Вирус закрыл доступ касперскому и некоторым функциям системы

после удаления порноинформера не запускаються TaskMgr, Regedit, Regedt32

Вирус закрыл доступ к сайтам

Вирус закрыл доступ к regedit, taskmgr...

Заблокирован taskmgr и regedit

Ваши права в разделе