-
Junior Member
- Вес репутации
- 53
Не удается разблокировать реестр, последствия вирусов
Добрый день!
Подцепил заразу, картинка на полэкрана с требованием смс для деактивации, изображение пропало- не понял как правда получилось
Далее прогнал НОДом - 1 файл заражен - С:/windows/finish.exe - BAT/DelfilesNag trojan
После этого скачал утилиту с доктора веба - при запуске пишет - ключ лицензии просрочен. обратил внимание что часы встали на 2012 год, причем окно установки не вызывается.
Часы \ дату - установил через командную строку.
Утилита веба заработала.
Нашел FieryAds находился эта фигня на С: в папке с такимже названием - удалено
Теперь - доступа к реестру (regedit) нет - пишет нет прав, часы так окно и не появляется, оиспетчер задач отключен....... ну это пока только что заметил.
........, в политиках возможности 3-х кнопок - не задано, отключение возможности редактирования реестра - не задано.
Загружался в безопасном редактирование реестра так же недоступно, AVZ запускал, разблокировка реестра не помогает
загрузил Reg Organizer, до реестра добрался
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System параметр DisableRegistryTools - стоит 1
0 - ставлю - после перезагрузки все равно 1. получается прочитать могу реестр этой прогой а изменить все равно не дает...
Стоит Win XP SP3
логи прилагаю
Последний раз редактировалось Slegs; 16.01.2010 в 00:54.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Посоветуйте пожалуйста что делать, уже готов систему переставлять, но очень не хотелось бы, слишком много востанавливать после....
Последний раз редактировалось Slegs; 16.01.2010 в 13:09.
-
Junior Member
- Вес репутации
- 53
Хелперы, посоветуйте лечение, плиз!
-
Заразы в логах не видно.
Выполните такой скрипт:
Код:
begin
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Сообщите, что изменится после перезагрузки?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Да....изменилось все здорово!!!!!!!!!! - повис порнобаннер, и эксплорер запускается и тутже пропадает.
Как дальше? Теперь и эксплорер не работает нормально, а все как было заблочено так и осталось и плюс "хорошая" картинка на весь экран)))) оно конечно здорово, но хотелось решить траблу а не преумножать)))))
Последний раз редактировалось Slegs; 16.01.2010 в 15:16.
-
Сделайте логи заново, если в нормальном режиме не удается - то в безопасном.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Пока я отвлекся этот комп загрузили с ЛайфСД доктора веба и запустили сканирование. Не помешает в дальнейших разборках?
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Сканирование с лайфСД ничего не выявило - 1 подозрительный (suspicious).
B папке C:\Program Files нарсовался pugins.exe, удалил - баннер исчез, эксплорер заработал.
Скрипты выполнены до удаления файла.
Логи из безопасного.
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,cmd /c C:\WINDOWS\System32\reg.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system /v DisableTaskMgr /t REG_DWORD /d 1 /f,cmd /c C:\WINDOWS\System32\reg.exe ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\system /v DisableTaskMgr /t REG_DWORD /d 1 /f,C:\vYgXQ\sb.exe
O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
QuarantineFile('C:\vYgXQ\sb.exe','');
DeleteFile('C:\vYgXQ\sb.exe');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvcReg('netprotocol');
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(14);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67400).
Сделайте новые логи в нормальном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Добрый день!
Выполнено, по поводу карантина - карантин есть за 15 число - там куча файлов, в сегодняшнем тока 1 - высылаю сегодняшний.
-
Junior Member
- Вес репутации
- 53
C:\vYgXQ\sb.exe -- это было отключено в автозагрузке и удалено вручную ранее
C:\Program Files\plugin.exe -- а это было удалено вчера в безопасном после чего пропал баннер, после этого было сканирование ЛайфСД доктора веба
На данный момент ничего не изменилось - окно часов заблокировано, диспетчер и редактор реестра тоже
-
В карантине netprotocol.dll - свежая модификация.
Заразы в логах больше не видно.
Сообщение от
Slegs
окно часов заблокировано, диспетчер и редактор реестра тоже
Сделано это весьма нетипичным способом.
Судя по этим строкам в логе:
Прямое чтение C:\WINDOWS\regedit.exe
Прямое чтение C:\WINDOWS\system32\regedt32.exe
Прямое чтение C:\WINDOWS\system32\taskkill.exe
Прямое чтение C:\WINDOWS\system32\taskmgr.exe
Прямое чтение C:\WINDOWS\system32\timedate.cpl
на перечисленные файлы отобраны права.
Отключите в Свойствах папки Простой общий доступ к файлам и сделайте эти файлы на полный доступ группе Администраторов и SYSTEM.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Bratez
сделайте эти файлы на полный доступ группе Администраторов и SYSTEM.
если можно подробнее как это выполнить, что то я торможу
в свойствах папки Простой общий доступ галка снята.
Добавлено через 4 минуты
разобрался, логи повторить после выполнения?
Добавлено через 3 минуты
Функции востановлены, весьма благодарен!
Последний раз редактировалось Slegs; 17.01.2010 в 15:20.
Причина: Добавлено
-
Если проблем больше нет, логи можно не повторять.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Последний вопрос - стоит включать востановление системы? и создать точку на данный момент?
Огромное спасибо за помощь! раздел поддержки проекта изучил.....
-
Сообщение от
Slegs
стоит включать востановление системы? и создать точку на данный момент?
На ваше усмотрение. Лично я предпочитаю им не пользоваться. Хотя, справедливости ради, могу сказать, что были в моей практике пару случаев, когда оно реально помогло. Если компьютер используется для какой-то важной работы - включите на всякий случай.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\netprotocol.dll - Trojan-Downloader.Win32.Piker.btp
-