Dr.Web обнаружил и удалил backdoor.generic.1138, но нет доступа к regedit
Добрый Вам день, хотя для меня он не очень добрый.
Прошу помощи и совета.
Вот предыстория:
принес на флешке инфу (взятую из дома - интересно вирус там тоже?) на работу, когда подключил - Dr.web (со свежайшей базой) ругнулся и нашел несколько файлов. Я нажимал "лечить" (во всплывающих окнах). Потом посмотрел содержимое флешки - там была (помимо прочих) одна неизвестная мне папка (имя уже забыл) с расширением exe (т.е. она выглядела как картинка-папка, но имя содержало в конце ".exe"). Т.к. я считал, что все лишнее DrWeb уже вылечил - я кликнул по ней - открылось окно проводника в папке "Мои рисунки". Мне это не понравилось - я запустил DrWeb на сканирование флешки - он опять нашел несколько файлов, которые идентифицировал как backdoor.generic.1138, которые я удалил. Потом мне стало любопытно - что это было. Вышел на страницу http://www.viruslist.com/ru/viruses/...virusid=121383, после прочтения попытался запустить regedit - и получил "замечательное" сообщение, что редактирование реестра запрещено администратором системы, также нет доступа к изменению свойств папки.
Т.е. видимо DrWeb либо совсем не исправил либо не полностью исправил ситуацию.
Подскажите, пожалуйста, как это лечиться?
Файлы полученные с помощью AVZ и hijackthis прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Пришлите для анализа файлы:
C:\DOCUME~1\FE66~1\LOCALS~1\Temp\er28660546.exe
C:\Documents and Settings\Виктор\Главное меню\Программы\Автозагрузка\RS.exe
2. AVZ, Файл/Восстановление системы, там отметить "Удаление всех Policies (ограничений) текущего пользователя" и нажать кнопку "выполнить отмеченные операции", после чего перезагрузиться. После этого regedit должен заработать
Большое спасибо за внимание, поразительную оперативность и реальную помощь.
А помощь уже действительно оказана - после запуска скрипта AVZ стал доступен реестр и свойства папки - огромное спасибо.
Что касается файлов:
- я не смог найти файл "C:\DOCUME~1\FE66~1\LOCALS~1\Temp\er28660546.e xe" - с помощью поиска в проводнике смог найти только "ER28660546.EXE-1B013EA9.pf" в папке "C:\WINDOWS\Prefetch" - высылаю его.
- файл "C:\Documents and Settings\Виктор\Главное меню\Программы\Автозагрузка\RS.exe" - нашел, отправляю. Вообще то это программа, которая переводит сумму из цифренного формата в текстовый и не раз мне пригождалась - будет очень жаль, если она вредоносная...
Кстати, сейчас еще раз проверил С диск и флешку DrWeb'ом - он ничего не нашел. Да и доступ теперь есть ко всему.
Есть ли еще вероятность присутствия вируса?
Еще раз большое спасибо Вам, Олег.
Последний раз редактировалось Зайцев Олег; 23.11.2006 в 16:40.
Зайцев Олег, объявляю Вам огромную благодарность за профессионализм и оперативность.
Обязуюсь рассказать эту happy end'овскую историю всем своим друзьям и знакомым - так что если Вам будет икаться - не пугайтесь это я Вас буду расхваливать.
Надеюсь, что Ваша деятельность не будет держаться только на вызывающем уважение безвозмездном альтруизме, а найдет хорошую материальную поддержку - желаю, чтоб Ваш AVZ как минимум вышел в тройку наилучших антивирусов и приносил Вам достойную прибыль.
Большое спасибо.
Виктор.
Уважаемый(ая) Becar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: