После лечения остплись неудаляемые ветки реестра

**Lexus** · 31.07.2009, 18:49

1. Сильно завирусованная машина последовательно пролечена LiveCD Dr.Web (ибо ни одна программа не запускалась из-за подмененного проводника), CureIt под safemode и Malwarebytes уже в обычном режиме. С помощью AVZ>Файл>Мастер поиска и устранения проблем отключена автозагрузка с дисков и сменных носителей и пофиксены несколько других уязвимостей. Ей же проведено сканирование и лечение/удаление остающихся вирей. Автовосстановление отключено, права администратора но при попытке доступа к реестру выскакивает окно "Доступ к реестру заблокирован администратором" диспетчер задач вызвать невозможно. Malwarebytes пишет что проблема в этих ветках реестра
Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

После удаления оных и перезагрузки они появляются вновь.

Обязательные логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 31.07.2009, 19:15

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\drivers\chvgrm.exe');
 TerminateProcessByName('c:\windows\system32\drivers\pwds.exe');
 TerminateProcessByName('c:\windows\system32\drivers\prgds.exe');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\qzxlib.dll','');
 QuarantineFile('digeste.dll','');
 QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
 QuarantineFile('c:\abs.exe','');
 QuarantineFile('C:\WINDOWS\system32\strap.exe','');
 QuarantineFile('C:\WINDOWS\msauc.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\uumudoewhqphes.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\CDAC11BA.EXE','');
 QuarantineFile('C:\WINDOWS\system32\RegSrvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\lgsnd_filter.sys','');
 QuarantineFile('c:\windows\system32\drivers\pwds.exe','');
 QuarantineFile('c:\windows\system32\drivers\prgds.exe','');
 QuarantineFile('c:\windows\system32\drivers\chvgrm.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-484763869-1708537768-854245398-1004\Dc410.exe','');
 DelBHO('0C4683DC-2062-4E57-84B7-11100267535D');
 DeleteFile('C:\RECYCLER\S-1-5-21-484763869-1708537768-854245398-1004\Dc410.exe');
 DeleteFile('c:\windows\system32\drivers\chvgrm.exe');
 DeleteFile('c:\windows\system32\drivers\prgds.exe');
 DeleteFile('c:\windows\system32\drivers\pwds.exe');
 DeleteFile('C:\WINDOWS\msauc.exe');
 DeleteFile('c:\abs.exe');
 DeleteFile('digeste.dll');
 DeleteFile('c:\windows\system32\digeste.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\qzxlib.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
SetAVZPMStatus(true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам.

**Lexus** · 01.08.2009, 16:38

Карантин выслан.
Логи прилагаю.

**light59** · 01.08.2009, 19:42

Скрипт

Код:

begin
SetAVZGuardStatus(True);
 BC_DeleteSvc('nlxektme');
 DeleteFile('C:\WINDOWS\system32\drivers\uumudoewhqphes.sys');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Что с проблемами?

**Lexus** · 01.08.2009, 22:55

Реестр и диспетчер задач разблокированы, CureIt и Malwarebites проходят в полном режиме без алертов, из видимых мне проблем только долгая загрузка проводника - примерно 15 секунд. Последний скрипт выполнен, логи нужны еще?

Добавлено через 11 минут

Сообщение от Lexus

Реестр и диспетчер задач разблокированы, CureIt и Malwarebites проходят в полном режиме без алертов, из видимых мне проблем только долгая загрузка проводника - примерно 15 секунд. Последний скрипт выполнен, логи нужны еще?

Выделенное пофиксено после выполнения последнего скрипта, сенькс. Еще один момент условно беспокоящий меня. При запуске стандартного скрипта AVZ №2 Mawarebytes беспокоится о файле С:\\windows\system32\drivers\utezmtyx.sys - якобы это опасный процесс пытающийся стартовать и вообще RooKit.Bagle. Это вредонос или обычный конфликт двух разных антивирусов?

на всякий пожарный...

**light59** · 02.08.2009, 15:20

Это от AVZ
Выполните скрипт

Код:

begin
 SetAVZPMStatus(false);
 ExecuteStdScr(6);
 rebootwindows(true);
end.

**Lexus** · 02.08.2009, 17:07

Скрипт выполнен. А что он делает?

**Rene-gad** · 02.08.2009, 17:54

Сообщение от Lexus

А что он делает?

Удалил Драйвер АВЗ. Он помог или нет? Логи, кстати, никто не просил. Уберите, плиз

**Lexus** · 02.08.2009, 19:21

Логи убраны. Алерт остался. Может этот драйвер просто внести в исключения Malwarebites?

Господа, ответьте плиз. Вылеченную машину уже можно отдавать хозяину или как?

**Rene-gad** · 05.08.2009, 20:06

Сообщение от Lexus

Может этот драйвер просто внести в исключения Malwarebites?

Упростим задачу: Удалите Малваребайтс нафик

Добавлено через 1 минуту

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader

**Lexus** · 11.08.2009, 10:50

Сделано. Плюс установлен Dr.Web с последними обновлениями. Малваребайтс живет еще на нескольких машинах рекомендуете удалить и там? Они у меня в паре с доктором хорошо от зловредов отбиваются. Или это мне просто кажется? :-)

**Rene-gad** · 11.08.2009, 10:56

Малваребайтс можете оставить, как сканнер по требованию. Но не как монитор

**Lexus** · 11.08.2009, 12:55

Ну на домашней он у меня в принципе не может установится, а на остальных последую совету. Спасибо большое за помощь!

**CyberHelper** · 12.08.2009, 12:55

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 32
В ходе лечения обнаружены вредоносные программы:
1. c:\recycler\s-1-5-21-484763869-1708537768-854245398-1004\dc410.exe - Email-Worm.Win32.Joleee.cxx ( DrWEB: Trojan.Spambot.4613 )

После лечения остплись неудаляемые ветки реестра (заявка № 51104)

Опции темы

После лечения остплись неудаляемые ветки реестра

Итог лечения

Похожие темы

Как включить диспечер задач и редактор реестра после лечения? (заявка №44318)

Остались неудаляемые следы после лечения от CMedia и FieryAds

Обмен опытом: Восстановление сетевого подключения после лечения uFast

Перехвачена попытка записи значения в ключе системного реестра, который входит в группу System Start

Неудаляемые ключи реестра ХР

Метки для этой темы

Ваши права в разделе