При открытии проводника корректируется реестр

**chaick** · 15.01.2009, 08:34

Появилась подозрительная активность на компе. Касперский визжит, блокируя троянов. Однако после того, как Касперский замолчал, появились странности. Одна из них - при открытии проводника какой-то процесс пытается сделать запись в реестр винды. Касперский это видит и я запрещаю запись.
Скачал DrWeb. Протестировал комп в соответствии с рекомендациями Правил. На всех дисках было найдено около 20 различных вирусных обьектов. Все удалил. Однако активность Проводника не прекратилась.
Запустил AVZ в соответствии с рекомендациями. После это активность проводника ПРЕКРАТИЛАСЬ.
Нет уверенности, что все нормально, поэтому высылаю логи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**light59** · 15.01.2009, 09:19

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\drivers\d19cd53b.sys','');
BC_Importquarantinelist;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=37426

**PavelA** · 15.01.2009, 11:02

Вот такая добавочка:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('Evsqedanaad.sys','');
 BC_DeleteSvc('Evsqedanaad');
 QuarantineFile('C:\WINDOWS\system32\drivers\lunliawbavpg.sys','');
 BC_DeleteSvc('fctkurlbq');
 DeleteFile('C:\WINDOWS\system32\drivers\lunliawbavpg.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

**chaick** · 15.01.2009, 13:01

Простите, хочу уточнить. Какой скрипт запускать - 1-й или 2-й? Или же оба в одном сеансе? Или каждый по очереди? Может быть напишете один общий скрипт.
Подожду вашего ответа, потом запущу.

**Гриша** · 15.01.2009, 13:01

По очереди сделайте...

**chaick** · 15.01.2009, 14:16

Запустил по очереди оба скрипта, два раза перезагружался. После этого проделал полный цикл повторных проверок. Логи прилагаю.
Подозрительно, что при перезагрузке компа (в конце загрузки) появляется сообщение, что некий процесс не может подключиться к адресу 0.0.0.0

**light59** · 15.01.2009, 15:14

карантин пришлите согласно приложению 3 правил

**chaick** · 15.01.2009, 22:48

Выслал карантин virusinfo_cure.zip

Добавлено через 5 часов 53 минуты

Кто-то в моем компе явно хозяйничает. Рассылает по аське от моего имени сообщения.
Что там с логами у меня?

**chaick** · 16.01.2009, 12:26

Уважаемые хелперы, прошу вас обратить внимание на файл d19cd53b.sys . Первым скриптом его помещали в карантин, но он все-равно находится в папке drivers и к тому же не читается антивирусником.
Нет увереннности, что в компе нет зверя. Временно отказался от Касперского и поставил Nod32, просканировал, но ничего не найдено.
Посмотрите, пожалуйста на логи и на карантин. Все ли там нормально?

**PavelA** · 16.01.2009, 12:34

'C:\WINDOWS\System32\drivers\d19cd53b.sys' - не попал в карантин.
Попытайтесь найти его руками и поместить в карантин.

**chaick** · 16.01.2009, 12:41

'C:\WINDOWS\System32\drivers\d19cd53b.sys' не позволяет ни переместить себя, ни вырезать.

**Гриша** · 16.01.2009, 12:48

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\drivers\d19cd53b.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи AVZ...

**chaick** · 16.01.2009, 12:52

Еще вызывают подозрения файлы c:\hiberfil.sys и c:\pagefile.sys Причем hiberfil.sys (523кб) появляется там только в Основном режиме виинды, в Защищенном его нет. Оба этих файла также не читаются антивирусником.

**Гриша** · 16.01.2009, 12:58

Это системные файлы...

pagefile.sys- файл подкачки...

hiberfil.sys- файл используется для режима гибернации...

**chaick** · 16.01.2009, 13:30

Вроде бы этот дравер удалился. Загружаю логи AVZ.
Кстати, этот драйвер d19cd53b.sys мне удалось поместить в zip в защищенном режиме вместе со всеми файлами из папки draver. Если это интересно, могу загрузить этот зип в качестве карантинных файлов.

**Гриша** · 16.01.2009, 13:32

Пришлите этот архив под паролем "virus"...

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('d19cd53b');
 DeleteFile('C:\WINDOWS\System32\drivers\d19cd53b.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('d19cd53b');    
BC_Activate;
RebootWindows(true);
end.

Повторите пункт 2 диагностики...

**chaick** · 16.01.2009, 14:11

Запустил скрипт. Выклыдаю лог

**Гриша** · 16.01.2009, 14:40

В логах чисто, жалобы есть?

**chaick** · 16.01.2009, 14:41

Загрузил Архив под паролем. Не знаю успешно ли.

Добавлено через 48 секунд

Нет, жалоб пока нет. Спасибо!

**CyberHelper** · 22.02.2009, 10:03

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения вредоносные программы в карантинах не обнаружены

При открытии проводника корректируется реестр (заявка № 37426)

Опции темы

При открытии проводника корректируется реестр

Итог лечения

Похожие темы

зависания при открытии worda, проводника.

Не коректная работа проводника

Модифицирован ключ запуска проводника

Загрузка ЦП=100% при запуске проводника.

модифицирован ключ запуска проводника

Ваши права в разделе