Trojan.Win32.Agent.il (KAV), Trojan.Griven (DrWeb) - троян за 25 гривен :)

[vidocq89]

может переименовать файл поможет в другое название?

[mantikora]

может переименовать файл поможет в другое название?

чем..я ничего не могу запустить..ни один экзе не запускается(кстати еще и архиватор(винрар) странно работает.. ) и консоль не могу запустит..вобщем я в шоке..из всех вариаций которые тут были описаны у меня походу самая сложная и самая последняя модификация..

[RiC]

работает только интернет эксплорер(кстати интересно что опера тож недоступна )

Можно в Эксплорере написать ссылку такого вида >> file://C:\avz4\avz.exe
Что приведёт к запуску указанной программы, путь нужно указывать полностью.

Ещё один экзотический вариант - правой кнопкой мыши на любой файл, к примеру архив .RAR или документ Word, из меню выбираете "Открыть с помошью" и выбираете AVZ, файл не откроется, а AVZ может запустится.

[mantikora]

Можно в Эксплорере написать ссылку такого вида >> file://C:\avz4\avz.exe
Что приведёт к запуску указанной программы, путь нужно указывать полностью.

Ещё один экзотический вариант - правой кнопкой мыши на любой файл, к примеру архив .RAR или документ Word, из меню выбираете "Открыть с помошью" и выбираете AVZ, файл не откроется, а AVZ может запустится.

1)не работает, хоть и выдает другого типа ошибку чем обычно..типа адресс не доступен..
2)не выходит..это походу предусмотрели и при нажатии открыть с помощью выдает стандартные нету доступа..
p.s. попробывал запустить командную строку через безопасный режим..но там таже история, все заблокировано..я в шоке с этого вируса...все очень и очень продумано..

[vidocq89]

распакуйте и запустите файл из архива в аттаче... нажмите "Да" при запросе...

или создайте файл с расширением *.reg (например файл file.reg),
впишите в него следующее:

PHP код:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer\RestrictRun]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer]
"RestrictRun"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
"DisableRegistryTools"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=- 


сохраните файл и запустите...

если не поможет, то будем еще думать... заодно скажите помогло ли хоть в чем-то...

PS: набросал сейчас этот скрипт.. не уверен что исправит все проблемы, но если проблемы созданы подобными записями в реестр, то помочь должно...
Во всяком случае я на это надеюсь

[mantikora]

распакуйте и запустите файл из архива в аттаче... нажмите "Да" при запросе...

или создайте файл с расширением *.reg (например файл file.reg),
впишите в него следующее:

PHP код:

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer\RestrictRun]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer]
"RestrictRun"=-
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
"DisableRegistryTools"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=- 


сохраните файл и запустите...

если не поможет, то будем еще думать... заодно скажите помогло ли хоть в чем-то...

PS: набросал сейчас этот скрипт.. не уверен что исправит все проблемы, но если проблемы созданы подобными записями в реестр, то помочь должно...
Во всяком случае я на это надеюсь

Ни 1-й ни 2-й вариант не проходит..пишет что не может выполнить т.к. нету прав доступа.

Добавлено через 1 минуту

стремный вирус..кто-то очень долго модернизирует и улучшает этот код..у меня уже никаких сил нету..весь день с ним вожусь..

[vidocq89]

запустите снова файл из аттача ИЛИ создайте файл с расширением *.bat (например klldskhf.bat) и запишите в него следующее:

PHP код:

reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer\RestrictRun" /va
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer" /v RestrictRun
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System" /v DisableRegistryTools
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System" /v DisableTaskMgr 


...затем сохраните файл и запустите....

файл в аттаче:

[mantikora]

запустите снова файл из аттача ИЛИ создайте файл с расширением *.bat (например klldskhf.bat) и запишите в него следующее:

PHP код:

reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer\RestrictRun" /va
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer" /v RestrictRun
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System" /v DisableRegistryTools
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System" /v DisableTaskMgr 


...затем сохраните файл и запустите....

файл в аттаче:

тоже самое..нет допуска..

[vidocq89]

так вы не под админскими правами что ли?..
а через безопасный режим делать это пробовали?..
ехешники какие-нибудь хоть запускаются?
...
1).
попробуйте АВЗ переименовать в IEXPLORE.EXE
(т.е название само IEXPLORE, а расширение, естественно, ехе)

2).
если не лень (если не помог пункт первый), по очереди переименовывайте расширение у АВЗ и пробуйте его запускать в следующие:
в *.scr затем в *.pif затем в *.com и затем в *.cmd ...
т.е просто дайте авз название типа flhfsdfh (хаотический набор букв) и меняйте расширение ЕХЕ на те, которые я предложил... может получиться...

[mantikora]

так вы не под админскими правами что ли?..
а через безопасный режим делать это пробовали?..
ехешники какие-нибудь хоть запускаются?
...
1).
попробуйте АВЗ переименовать в IEXPLORE.EXE
(т.е название само IEXPLORE, а расширение, естественно, ехе)

2).
если не лень (если не помог пункт первый), по очереди переименовывайте расширение у АВЗ и пробуйте его запускать в следующие:
в *.scr затем в *.pif затем в *.com и затем в *.cmd ...
т.е просто дайте авз название типа flhfsdfh (хаотический набор букв) и меняйте расширение ЕХЕ на те, которые я предложил... может получиться...

ты гений))помогло)))покрайне мере авз запустил ща буду пробывать починить свою родную железяку))
спасибо))))))))))))

Добавлено через 1 минуту

помогло 1-е))

[vidocq89]

ты гений))помогло)))покрайне мере авз запустил ща буду пробывать починить свою родную железяку))
спасибо))))))))))))

Добавлено через 1 минуту

помогло 1-е))

спасибо))
рад, что смог помочь.

Мне просто нравиться помогать людям...

кстати, я переписал на другой скриптовый язык под винду те несколько строк...
попробуйте запустить... хотя, раз авз пашет - все это уже не важно... и скорее всего работать не будет...

поэтому запускать файл из аттача теперь не обязательно

а так... теперь выполняйте правила:
http://virusinfo.info/showthread.php?t=1235 и постите в том разделе тему...
также в АВЗ можете попробовать поковырять:
Файл - Мастер поиска и удаления проблем...

[mantikora]

все это финита ля комедиа..вирус безсмертный, который учитывает все возможные способы атаки..
кароче запустил я авз и просканил систему, ничего не нашло..ну я как было написано выполнил полное восстановление, перегрузил комп и что..тоже самое только еще хуже..системе еще хуже стало..даже ИЕ не запускался, а рабочий стол вообще полностью черный стал..я уж думал идти вешаться, но решил еще проверить 2-й аккаунт(у меня их слава богу было 2) и там все по сути тоже самое что и до этого было..но хоть ИЕ как и раньше работает..вобщем пройдя снова кучу этапов мучений добрался до авз(ох как это было не просто..) ...вобщем не знаю че даж делать..уже стремно чето жать..потому что это последний аккаунт..и если и сейчас что-то не так случится то потом даж в инэт не смогу зайти..походу создатели вируса(ох добраться бы до них ) в последней модификации все предусмотрели и то что произошло с предыдущим аккаунтом(пользователем) было наказанием за попытку удалить вирус..

[vidocq89]

через безопасный режим пробовали?
правила: http://virusinfo.info/showthread.php?t=1235 выполняли?..
выполните...запостите логи...
хелперы вам помогут

[mantikora]

через безопасный режим пробовали?
правила: http://virusinfo.info/showthread.php?t=1235 выполняли?..
выполните...запостите логи...
хелперы вам помогут

через безопасный режим таже история..
а насчет оформления заявки сейчас как раз собираю инфу..но в таком мега ограниченном режиме это сделать очень непросто((

[vidocq89]

я удивлюсь если восстановление ассоциаций поможет, т.к по-моему запрещен запуск ехешников другим способом
...
хотя ...

[Alexsivak]

Здраствуйте!


Здраствуйте!
У меня в точности такая же проблема как у mantikora, перепробовал все что здесь было предложено, только AVZ пока не запускал, боюсь также потом все хуже станет.
удалил вновь прописанные файлы в C:\WINDOWS\WinSxS и C:\WINDOWS\Provisioning\Schemas и потом С других машин по сети прошарил зараженную и Касперским и нортоном с последними базами, ничего не нашли, даже файл Photo.exe (якобы самораспоковывающийся архив) с которого все началось они не зацепили.
С зараженной машины запускается только explorer, т.е. если переименовывать в iexplorer.exe то запускаются програмы но нет поддержки dll у нортона и в итоге зависает.
пробовал переименовывать и запускать C:\WINDOWS\system32\Restore востановление, сначала запускается но пишет что востановление системы отключено, при включении опять вылазиет предупреждение об ограниченных ресурсах, может можно как нибудь через ключи включить востановление системы, чтобы потом запустить переименованный файл из C:\WINDOWS\system32\Restore ?

[kps]

С зараженной машины запускается только explorer, т.е. если переименовывать в iexplorer.exe то запускаются програмы но нет поддержки dll у нортона и в итоге зависает.

Скачайте AVZ отсюда: http://rapidshare.com/files/116950728/IEXPLORE.EXE.html
Сделайте логи по правилам, создайте тему в разделе "Помогите!". Мы Вам поможем.