Показано с 1 по 16 из 16.

Проблемы с реестром (заявка № 49562)

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Lexxus
    Регистрация
    27.10.2006
    Адрес
    г. Химки
    Сообщений
    494
    Вес репутации
    415

    Thumbs up Проблемы с реестром

    http://virusinfo.info/showthread.php...562#post428562
    Сабж по проблеме.

    Логи:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
    QuarantineFile('C:\Documents and Settings\Profatilo\Local Settings\Temporary Internet Files\Content.IE5\1D0LK6M3\application[2].js','');
     QuarantineFile('WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\6\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\symmpi.sys','');
     DeleteService('Npc28');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Npc28.sys','');
     DeleteService('mswd64');
     QuarantineFile('C:\WINDOWS\system32\drivers\mswd64.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\adpu320.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\mswd64.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Npc28.sys');
     DeleteFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\6\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

    2.Повторить логи и лог ГМЕРа сделать

    Добавлено через 53 минуты

    UPD.
    Код:
    O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
    Вот это тоже убрать
    Последний раз редактировалось Kuzz; 08.07.2009 в 16:27. Причина: Добавлено
    The worst foe lies within the self...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Lexxus
    Регистрация
    27.10.2006
    Адрес
    г. Химки
    Сообщений
    494
    Вес репутации
    415
    UP

    P.S. Файл virus.zip загрузил... минут 40-50 назад

    HiJackthis - пофиксил только что
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Контрольный Gmer-а все же желателен


    "Хвосты" в HJT:
    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
    R3 - URLSearchHook: (no name) -  - (no file)
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
    То, что это правильные настройки я думаю Вы проверите:
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mosgortrans.ru
    O17 - HKLM\Software\..\Telephony: DomainName = mosgortrans.ru
    O17 - HKLM\System\CCS\Services\Tcpip\..\{86066724-8032-47FC-AF64-F88EB6B6F7BA}: NameServer = 130.0.0.1
    Ну и, как говорится, "Аяяй!"
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    The worst foe lies within the self...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Скачайте эту версию AVZ и сделайте ею п.2 Диагностики (базы обновлять не нужно).
    I am not young enough to know everything...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Lexxus
    Регистрация
    27.10.2006
    Адрес
    г. Химки
    Сообщений
    494
    Вес репутации
    415
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Компьютер начальника
    А что вы хотите... привязан некоторый софт к Windows и IE в частности...
    Скачаю и сделаю все завтра. Сейчас дома

    Gmer - запускаться отказался...
    Поисходит то же, что было в с реестром... Экран сбрасывается, а потом восстанавливается...

    (Сейчас благо реестр заработал и все остальное тоже)

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от Lexxus Посмотреть сообщение
    Gmer - запускаться отказался...
    Значит перед созданием логов в
    Цитата Сообщение от Bratez Посмотреть сообщение
    эту версию AVZ
    активируйте AVZPM (с перезагрузкой) - что-то мешает и ГМЕРу работать
    The worst foe lies within the self...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Lexxus
    Регистрация
    27.10.2006
    Адрес
    г. Химки
    Сообщений
    494
    Вес репутации
    415
    При проверке предложенным avz - вылетает ошибка аля Access Validation... на минуте 6-й где то... сканирования...

    UPD: Gmer запустился...
    минут через ****цать дам посмотреть логи

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Lexxus
    Регистрация
    27.10.2006
    Адрес
    г. Химки
    Сообщений
    494
    Вес репутации
    415
    Лог GMER
    Вложения Вложения
    • Тип файла: log gmer.log (11.8 Кб, 8 просмотров)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Lexxus Посмотреть сообщение
    При проверке предложенным avz - вылетает ошибка аля Access Validation... на минуте 6-й где то... сканирования...
    Не надо ничего сканировать! Только стандартный скрипт #2.
    I am not young enough to know everything...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Lexxus
    Регистрация
    27.10.2006
    Адрес
    г. Химки
    Сообщений
    494
    Вес репутации
    415
    Понял, просто смутила фраза:

    Значит перед созданием логов
    Я и подумал, что сделать два лога, почему то...

    Такс, вот лог:
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\..\iss.nav','');
     DeleteFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\..\iss.nav');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    Повторите п.2 Диагностики.
    I am not young enough to know everything...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Lexxus
    Регистрация
    27.10.2006
    Адрес
    г. Химки
    Сообщений
    494
    Вес репутации
    415
    UP

    Закачал также

    Файл сохранён как 090709_153847_virus_4a55d6c7027a2.zip
    Размер файла 583
    MD5 0749207f47122a839aac4656f8efb9c7
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Теперь чисто. Проблема решена?
    I am not young enough to know everything...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Lexxus
    Регистрация
    27.10.2006
    Адрес
    г. Химки
    Сообщений
    494
    Вес репутации
    415
    Да, все летает, если можно назвать это полетом на Windows))

    Реестр восстановился после первого скрипта, а это именно то, что мне и нужно было.

    А после дальнейших действий - перестал грузиться ЦП под 100% с включеным IE

    Спасибо за помощь

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.wzr

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Lexxus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблемы с реестром
      От Vo11k в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 23.11.2009, 20:03
    2. Проблема с реестром windows xp
      От S1111S в разделе Оффтоп
      Ответов: 4
      Последнее сообщение: 13.11.2009, 12:37
    3. Проблема с реестром
      От laKosta в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.10.2008, 16:04
    4. Проблемы с реестром
      От alexsandr671 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.06.2008, 11:12
    5. Проблема с реестром
      От SashaD в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.03.2006, 10:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01320 seconds with 17 queries