-
Junior Member
- Вес репутации
- 51
Проблемы с загрузкой Windows после лечения.
Компьютер был заблокирован вредоносной программой. Для решения проблемы, HDD был подключен к др.компьютеру и проверен Антивирусом Касперского, найденные вирусы были удалены. После удаления вирусов, при загрузке Windows (XP) с пролеченного диска: рабочий стол пуст, кнопки "Пуск" нет, на ctrl+alt+del выдаётся сообщение "Диспетчер задач был отключен администратором". При попытке загрузиться в "безопасном режиме" происходит перезагрузка. Загрузился с "Диска аварийного восстановления (Лаборатории Касперского)" и произвёл проверку. Вновь вирусы были обнаружены и удалены, но загрузиться с проблемного диска так и не удаётся.
Таким образом, я не могу запустить программы (AVZ, HijackThis) из под "битой" ОС.
Подскажите пожалуйста, как быть в данной ситуации?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
а также
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
http://virusinfo.info/showthread.php?t=51777
В той же ветке реестра смотрите параметр shell (верное значение explorer.exe)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
ветка:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр: значение:
C:\windows\system32\userinit.exe
параметр: значение:
C:\Document and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\XD5FH5004\xxx_video_537.avi[1].exe
ветка:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр: значение:
-
Сообщение от
Barkley
параметр: shell
значение: C:\Document and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\XD5FH5004\xxx_video_537.avi[1].exe
Исправить на explorer.exe
После это приступать к выполнению правил (раздел Диагностика)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Document and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\XD5FH5004\xxx_video_537.avi[1].exe','');
DeleteFile('C:\Document and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\XD5FH5004\xxx_video_537.avi[1].exe');
DeleteFileMask('C:\Document and Settings\User\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
Спасибо за помощь! Всё работает, рабочий стол ожил.
Новые логи:
-
Junior Member
- Вес репутации
- 51
Подскажите пожалуйста, на этом можно остановиться или требуется продолжить лечение?
На первый взгляд всё работает. Смущает только результат сканирования Malwarebytes Antimalware. Стоит ещё пролечиться или это следствие описанного на http://virusinfo.info/showthread.php?t=53070 ? ("... по причине слабого сигнатурного детекта и связанного с этим большого количества ложных срабатываний. По вышеуказанной причине - ничего не удаляйте, не посоветовавшись с хелперами.")
Последний раз редактировалось Barkley; 22.07.2010 в 16:57.
-
Это можно удалить
Код:
Зараженные файлы:
D:\System Volume Information\_restore{0827C4C2-1B96-401A-A92F-8AA64C4FC9B5}\RP6\A0045298.exe (Trojan.Backdoor) -> No action taken.
D:\Старый Windows\Games\Luxor 3\Crack.exe (Trojan.Backdoor) -> No action taken.
D:\Старый Windows\Games\Luxor 3\Crack.exe.bak (Trojan.Backdoor) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
А это можно оставить?
Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 51
Polword, Thyrex, огромное Вам спасибо!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-