-
Junior Member
- Вес репутации
- 57
Вирус: ДЗ и реестр отключены
Вставил флешку друга в комп, вылезло сообщение наподобие "Не найден диск D", сначала не придал внимание, только потом понял что это первый признак вируса на флехе. В общем, при попытке запустить ДЗ выдает: "ДЗ отключен администратором", Пуск-Выполнить-regedit: Редактирование реестра запрещено администратором системы. Выполнение команды Файл-Мастер поиска и устранения системных проблем-*обнаруживается 2 проблемы - блокировка дз и реестра*-исправить - ничего не дает. При изменени степени опасности на "Все проблемы" и потоврном "Исправлении отмеченных проблем" ДЗ и реестр таки открываются на 1 раз, затем блокируются снова. Сменяется заставка раб.стола. Нельзя прочитать письма через IE или Opera'у. Нет доступа к сайтам Касперского, не скачиваются файлы с названием kaspersky и dr.web. Чтобы запустить AVZ, avz.exe пришлось переименовать в 765.pif . С помощью программы Starter видно, что постоянно запущены пара-тройка процессов из C:\DOCUME~1\Admin\LOCALS~1\Temp. Удалить .exe файлы этих процессов нельзя, Unlocker удаляет их после ребута, но там появляются новые. Так же, не внушает доверия "Explorer.EXE" . При попытки вырубить его, он запускается сразу же самостоятельно. .exe файлы запускаются без проблем, не запускается только AVP. В безопасном режиме не получается ничего запустить, тк BSOD.
Хеееелп...
Вот логи:
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\yew.bat','');
QuarantineFile('C:\yannh.cmd','');
QuarantineFile('C:\p1y2.cmd','');
QuarantineFile('C:\o1.com','');
QuarantineFile('C:\m2nl.bat','');
QuarantineFile('C:\iky.bat','');
QuarantineFile('C:\i.bat','');
QuarantineFile('C:\h3.bat','');
QuarantineFile('C:\e.cmd','');
QuarantineFile('C:\abk.bat','');
QuarantineFile('C:\3rl3lqbq.bat','');
QuarantineFile('C:\2u.com','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\avp2.pif','');
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\drivers\mpihkr.sys','');
QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\mpihkr.sys');
DeleteFile('C:\2u.com');
DeleteFile('C:\3rl3lqbq.bat');
DeleteFile('C:\abk.bat');
DeleteFile('C:\e.cmd');
DeleteFile('C:\h3.bat');
DeleteFile('C:\i.bat');
DeleteFile('C:\iky.bat');
DeleteFile('C:\m2nl.bat');
DeleteFile('C:\o1.com');
DeleteFile('C:\p1y2.cmd');
DeleteFile('C:\yannh.cmd');
DeleteFile('C:\yew.bat');
BC_ImportALL;
BC_DeleteSvc('abp470n5');
ExecuteSysClean;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36388
Повторите логи по правилам.
Добавлено через 4 минуты
Очистите TEMP папки кеш и прочее http://virusinfo.info/showthread.php?t=10025
Последний раз редактировалось light59; 27.12.2008 в 09:54.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 57
Скрипт выполнился без проблем.
"Очистка папки Temp" не помогает, в ней все равно заново создается некая папка "WPDNSE" и пара .exe приложений.
Карантин выслан
-
Junior Member
- Вес репутации
- 57
-
В AVZ скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearquarantine;
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ysmg.exe');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ofotmx.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\ysmg.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\ofotmx.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\ofotmx.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\ysmg.exe');
bc_importall;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36388
Повторите логи по правилам.
-
-
Junior Member
- Вес репутации
- 57
-
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
безопасный режим работает?
Что с остальными проблемами?
-
-
Junior Member
- Вес репутации
- 57
Безопасный режим по прежнему не работает - в момент "press ESC for cancel loading sysptd[не помню точно как название]" вылезает БСОД. ДЗ и реестр так же недоступны. В папке Temp постоянно создается папка "WPDNSE" и пара .exe-приложений. Невозможно прочитать e-mail'ы. В процессах висит по 2-3 процесса, запущенных из папки Temp. Если by AVZ исправить проблемы блокировки ДЗ и реестра, и сразу же запустить повторный поиск "Поиск и исправление" - найдены Блокировка ред. реестра и ДЗ.
В целом, если не считать удаленных первым скриптом cmd и bat'ов, ничего не изменилось.
А я не унываю \\ И с 2 и 7 свой стек выставляю \\ Смахну свои слезы \\ И на ривере смеюсь \\ ©
-
В AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mschco.exe','');
BC_Importquarantinelist;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам по той же ссыке
-
-
Junior Member
- Вес репутации
- 57
Извините, что так долго, часовой пояс +7 мск
Карантин выслан.
p.s.: логи выкладывать каждый раз или только по вашему запросу?
А я не унываю \\ И с 2 и 7 свой стек выставляю \\ Смахну свои слезы \\ И на ривере смеюсь \\ ©
-
Не надо самодеятельности. Только то, что просят.
-
-
Junior Member
- Вес репутации
- 57
light59, такими темпами мы не успеем до НГ
А если серьезно - что там у меня, все плохо? Или хуже некуда? Неизвестность страшнее всего.
А я не унываю \\ И с 2 и 7 свой стек выставляю \\ Смахну свои слезы \\ И на ривере смеюсь \\ ©
-
в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mschco.exe');
DeleteFile('C:\WINDOWS\system32\drivers\mpihkr.sys');
DeleteService('abp470n5');
BC_ImportDeletedList;
BC_DeleteSvc('abp470n5');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи повторите.
Добавлено через 1 минуту
И ещё вопрос. Проверку CureIt делали? Или он у вас не скачивается?
Последний раз редактировалось light59; 28.12.2008 в 16:52.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 57
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
Вы правы. Проверку CureIt не делал, из-за того что не скачивается.
А я не унываю \\ И с 2 и 7 свой стек выставляю \\ Смахну свои слезы \\ И на ривере смеюсь \\ ©
-
Junior Member
- Вес репутации
- 57
Up! И тигры у ног моих сели...
А я не унываю \\ И с 2 и 7 свой стек выставляю \\ Смахну свои слезы \\ И на ривере смеюсь \\ ©
-
В AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\mpihkr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
end.
Отпишитесь, что с проблемами.
-
-
Junior Member
- Вес репутации
- 57
Проверка завершена
Удаление файла:C:\WINDOWS\system32\drivers\mpihkr.sys
>>>Для удаления файла C:\WINDOWS\system32\drivers\mpihkr.sys необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> удален параметр DisableTaskMgr ключа HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
[микропрограмма лечения]> удален параметр DisableRegistryTools ключа HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
После перезагрузки(или если без ребута, а просто вырубить AVZ) все "как обычно" - ред. реестра и дз блокированы, e-mail'ы не читаются. Повторное выполнение скрипта дает такой же результат.
Если не выключать AVZ после выполнения скрипта, то по нажатию на ctrl+alt+del вообще ничего не происходит, а на Пуск-Выполнить-regedit: "Отказано в достпуе к указанному устройству или файлу<....>объекту"(ну это, я так понимаю, из-за AVZGuard'a). Но! В это же время(т.е. AVZGuard 'on') AVP не запускается(через "Запустить приложение как доверенное" , конечно же) и e-mail'ы по-прежнему нечитаемы.
А я не унываю \\ И с 2 и 7 свой стек выставляю \\ Смахну свои слезы \\ И на ривере смеюсь \\ ©
-
Junior Member
- Вес репутации
- 57
Ага, значит так - сканер от Dr.Web'a с последними базами достал. Он обнаружил несколько троянов, и исцелил от "Win32.Sector.16" все ехе-файлы. Теперь есть доступ к сайту Касперского, читаются электронные письма. Но проблема блокировки ДЗ и ред.реестра по-прежнему актуальна.
Последний раз редактировалось Khabby; 31.12.2008 в 06:18.
Причина: Добавлено
А я не унываю \\ И с 2 и 7 свой стек выставляю \\ Смахну свои слезы \\ И на ривере смеюсь \\ ©
-
Должен такой скрипт помочь:
Код:
begin
ExecuteRepair(6);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 57
Выполнил скрипт, ребут. Жму ctrl+alt+del и О! Чудо! ДЗ заработал! закрываю дз, запускаю еще раз - и все. Опять старая песня - ДЗ отключен администратором.
Начал делать проверку сканером Dr.Web - оказалось, что все ехе-файлы снова заражены Win32.Sector.16 => нет доступа к сайту лаб-ии Касперского.
Что делать!?
Добавлено через 1 минуту
Про exe-шники в папке Temp вообще молчу.
Последний раз редактировалось Khabby; 01.01.2009 в 04:41.
Причина: Добавлено
А я не унываю \\ И с 2 и 7 свой стек выставляю \\ Смахну свои слезы \\ И на ривере смеюсь \\ ©