Показано с 1 по 19 из 19.

Не удается разблокировать реестр, последствия вирусов (заявка № 67400)

  1. #1
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    11
    Вес репутации
    29

    Thumbs up Не удается разблокировать реестр, последствия вирусов

    Добрый день!
    Подцепил заразу, картинка на полэкрана с требованием смс для деактивации, изображение пропало- не понял как правда получилось

    Далее прогнал НОДом - 1 файл заражен - С:/windows/finish.exe - BAT/DelfilesNag trojan

    После этого скачал утилиту с доктора веба - при запуске пишет - ключ лицензии просрочен. обратил внимание что часы встали на 2012 год, причем окно установки не вызывается.
    Часы \ дату - установил через командную строку.

    Утилита веба заработала.
    Нашел FieryAds находился эта фигня на С: в папке с такимже названием - удалено

    Теперь - доступа к реестру (regedit) нет - пишет нет прав, часы так окно и не появляется, оиспетчер задач отключен....... ну это пока только что заметил.
    ........, в политиках возможности 3-х кнопок - не задано, отключение возможности редактирования реестра - не задано.

    Загружался в безопасном редактирование реестра так же недоступно, AVZ запускал, разблокировка реестра не помогает

    загрузил Reg Organizer, до реестра добрался
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System параметр DisableRegistryTools - стоит 1
    0 - ставлю - после перезагрузки все равно 1. получается прочитать могу реестр этой прогой а изменить все равно не дает...


    Стоит Win XP SP3

    логи прилагаю
    Последний раз редактировалось Slegs; 16.01.2010 в 00:54.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    11
    Вес репутации
    29
    Посоветуйте пожалуйста что делать, уже готов систему переставлять, но очень не хотелось бы, слишком много востанавливать после....
    Последний раз редактировалось Slegs; 16.01.2010 в 13:09.

  4. #3
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    11
    Вес репутации
    29
    Хелперы, посоветуйте лечение, плиз!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Заразы в логах не видно.

    Выполните такой скрипт:
    Код:
    begin
    ExecuteRepair(11);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true); 
    end.
    Сообщите, что изменится после перезагрузки?
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    11
    Вес репутации
    29
    Да....изменилось все здорово!!!!!!!!!! - повис порнобаннер, и эксплорер запускается и тутже пропадает.
    Как дальше? Теперь и эксплорер не работает нормально, а все как было заблочено так и осталось и плюс "хорошая" картинка на весь экран)))) оно конечно здорово, но хотелось решить траблу а не преумножать)))))
    Последний раз редактировалось Slegs; 16.01.2010 в 15:16.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте логи заново, если в нормальном режиме не удается - то в безопасном.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    11
    Вес репутации
    29
    Пока я отвлекся этот комп загрузили с ЛайфСД доктора веба и запустили сканирование. Не помешает в дальнейших разборках?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Нет, не помешает.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    11
    Вес репутации
    29
    Сканирование с лайфСД ничего не выявило - 1 подозрительный (suspicious).
    B папке C:\Program Files нарсовался pugins.exe, удалил - баннер исчез, эксплорер заработал.
    Скрипты выполнены до удаления файла.
    Логи из безопасного.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Отключите восстановление системы!
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,cmd /c C:\WINDOWS\System32\reg.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system /v DisableTaskMgr /t REG_DWORD /d 1 /f,cmd /c C:\WINDOWS\System32\reg.exe ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\system /v DisableTaskMgr /t REG_DWORD /d 1 /f,C:\vYgXQ\sb.exe
    O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
    QuarantineFile('C:\vYgXQ\sb.exe','');
    DeleteFile('C:\vYgXQ\sb.exe');
    DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvcReg('netprotocol');
    BC_Activate;
    ExecuteRepair(11);
    ExecuteRepair(14);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=67400).
    Сделайте новые логи в нормальном режиме.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    11
    Вес репутации
    29
    Добрый день!
    Выполнено, по поводу карантина - карантин есть за 15 число - там куча файлов, в сегодняшнем тока 1 - высылаю сегодняшний.

  13. #12
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    11
    Вес репутации
    29
    C:\vYgXQ\sb.exe -- это было отключено в автозагрузке и удалено вручную ранее

    C:\Program Files\plugin.exe -- а это было удалено вчера в безопасном после чего пропал баннер, после этого было сканирование ЛайфСД доктора веба

    На данный момент ничего не изменилось - окно часов заблокировано, диспетчер и редактор реестра тоже

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В карантине netprotocol.dll - свежая модификация.
    Заразы в логах больше не видно.

    Цитата Сообщение от Slegs Посмотреть сообщение
    окно часов заблокировано, диспетчер и редактор реестра тоже
    Сделано это весьма нетипичным способом.
    Судя по этим строкам в логе:
    Прямое чтение C:\WINDOWS\regedit.exe
    Прямое чтение C:\WINDOWS\system32\regedt32.exe
    Прямое чтение C:\WINDOWS\system32\taskkill.exe
    Прямое чтение C:\WINDOWS\system32\taskmgr.exe
    Прямое чтение C:\WINDOWS\system32\timedate.cpl

    на перечисленные файлы отобраны права.

    Отключите в Свойствах папки Простой общий доступ к файлам и сделайте эти файлы на полный доступ группе Администраторов и SYSTEM.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    11
    Вес репутации
    29
    Цитата Сообщение от Bratez Посмотреть сообщение
    сделайте эти файлы на полный доступ группе Администраторов и SYSTEM.
    если можно подробнее как это выполнить, что то я торможу

    в свойствах папки Простой общий доступ галка снята.

    Добавлено через 4 минуты

    разобрался, логи повторить после выполнения?

    Добавлено через 3 минуты

    Функции востановлены, весьма благодарен!
    Последний раз редактировалось Slegs; 17.01.2010 в 15:20. Причина: Добавлено

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Если проблем больше нет, логи можно не повторять.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    11
    Вес репутации
    29
    Последний вопрос - стоит включать востановление системы? и создать точку на данный момент?

    Огромное спасибо за помощь! раздел поддержки проекта изучил.....

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Slegs Посмотреть сообщение
    стоит включать востановление системы? и создать точку на данный момент?
    На ваше усмотрение. Лично я предпочитаю им не пользоваться. Хотя, справедливости ради, могу сказать, что были в моей практике пару случаев, когда оно реально помогло. Если компьютер используется для какой-то важной работы - включите на всякий случай.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    11
    Вес репутации
    29
    Спасибо Вам! Удачи!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\netprotocol.dll - Trojan-Downloader.Win32.Piker.btp


  • Уважаемый(ая) Slegs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Разблокировать реестр.
      От Aleksandr49 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 03.03.2011, 17:59
    2. Ответов: 41
      Последнее сообщение: 19.01.2011, 23:30
    3. Ответов: 14
      Последнее сообщение: 12.02.2010, 00:07
    4. Ответов: 15
      Последнее сообщение: 21.02.2009, 21:06
    5. Ответов: 4
      Последнее сообщение: 28.12.2008, 16:25

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00836 seconds with 16 queries