-
Junior Member
- Вес репутации
- 54
Не запускается редактор реестра
Здравствуйте.
При загрузке системы, вылетает ошибка, что не возможно запустить файл: c:\windows\eksplorasi.exe. Не запускается редактор реестра. Стоял касперский, но ни один его модуль не стартовал. Пришлось деинсталировать. Установить drweb не получилось. Проверил систему Dr. Web CureIt, нашел 2 трояна, удалил. Вот логи:
Что делать дальше?
Последний раз редактировалось zlichu; 24.12.2009 в 16:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll (file missing)
O2 - BHO: (no name) - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - (no file)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\XP-50DB807F.EXE','');
QuarantineFile('C:\WINDOWS\system32\DETER177\lsass.exe','');
QuarantineFile('C:\WINDOWS\ShellNew\sempalong.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\dhenm.dll','');
DeleteFile('C:\WINDOWS\system32\dhenm.dll');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\smss.exe');
DeleteFile('C:\WINDOWS\ShellNew\sempalong.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
DeleteFile('C:\WINDOWS\system32\XP-50DB807F.EXE');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=59024).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Дополнительно сделайте лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Все сделал. Вот логи. Забыл лог gmer. Сейчас сделаю и выложу
Последний раз редактировалось zlichu; 24.12.2009 в 16:57.
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось zlichu; 24.12.2009 в 16:57.
-
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Код:
gmer.exe -del service oymypnafw
gmer.exe -del file "C:\WINDOWS\system32\dhenm.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\oymypnafw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\oymypnafw"
gmer.exe -reboot
Сделайте новый лог gmer.
Последний раз редактировалось Rene-gad; 02.11.2009 в 10:21.
-
-
Junior Member
- Вес репутации
- 54
Новый лог gmer. Если я правильно понял, то после выполнения скрипта, комп должен был перезагрузиться. Строка gmer.exe -reboot. Перезагрузки не было. Так же gmer сказал что в системе обнаружен руткит. Таких сообщений было 2, когда запустил gmer и после сканирования.
Последний раз редактировалось zlichu; 24.12.2009 в 16:57.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится cp5s728y.exe (gmer)
Код:
cp5s728y.exe -del service oymypnafw
cp5s728y.exe -del file "C:\WINDOWS\system32\dhenm.dll"
cp5s728y.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\oymypnafw"
cp5s728y.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\oymypnafw"
cp5s728y.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится
Сделать новый лог gmer
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось zlichu; 24.12.2009 в 16:57.
-
В логе чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 54
Проблема решена. Огромное спасибо.
Тему можно закрыть.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\dhenm.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, AVAST4: Win32:Rootkit-gen [Rtk] )
-