Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Никуда не зайти(безп режим, дисп задач, explorer) (http://forum.oszone.net/showthread.php?t=107532)

Diak 22-05-2008 17:09 808536

Никуда не зайти(безп режим, дисп задач, explorer)
 
Всем привет. Вот на днях принесли мне ноутбук с кучей вирусов. С самого начала:
- в сейв мод не зайти, сразу на перезагрузку, я так думаю вируса поработали.
- не заходил в дисп задач - выключено администратором, хоть я и заходил под админом - тоже вируса поработали( ну это ладно, можно включить в винде).
- запуск сканеров антивирусов блочил, не давал запускать.
Ну эт все ладно, пошаманив немного сканер запустился, нашел кучу бяк, благопалучно удалил. Вот только я накосячил и не просмотрел весь список найденных вирусов. Выделил все - fix/delete.
И вот теперь, после перезагрузки не грузится рабочий стол, только обоина видна. В Дисп задач по прежнему не зайти. В Безопасный режим тоже. Вот я и хотел бы у вас спросить, возможно ли как нибуть восстановить систему?
Зы: винда - Win Xp Professional
зызы: сейчас в систему получается зайти только через диск winXPE
зызызы: Пробывал восстановить explorer через AVZ - не помогло. В реестре вроде все правильно.

Pili 22-05-2008 17:51 808565

1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
не забудьте выгрузить куст
Можете попробовать заменить файл userinit.exe на такой же. взяты с чистой системы.
Также загрузить файл SYSTEM, смотрим во всех ветках реестра ControlSet00#\Control\Session Manager\SubSystems
где 00# = 001, 002, ...
Параметр: Windows
Цитата:

%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
Если вместо basesrv что-то другое, проверяем есть ли на диске больной системы файл C:\WINDOWS\system32\basesrv.dll и файл-зловред basexxxx32.dll, копируем оригинальный basesrv.dll на basexxxx32.dll, исправляем в реестре ServerDll=basesrv
см. также Как восстановить работу системы после повреждения системного реестра, препятствующего запуску Windows XP
Как выполнить обновление (переустановку) Microsoft Windows XP - начать с раздела "Восстановление системы"
Если не помогло, покажите что у вас в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\

Цитата:

Цитата Diak
Пробывал восстановить explorer через AVZ - не помогло »

AVZ запускается? Тогда делайте логи по правилам

Diak 22-05-2008 19:18 808642

Заранее спасибо, завтра на работе попробую. Если что, отпишусь.
Да AVZ запускается но при загрузке через диск winXPE

Pili 22-05-2008 19:25 808646

Цитата:

Цитата Diak
при загрузке через диск winXPE »

Такой лог не нужен (бесполезен), попробуйте рекомендации выше

Котяра 22-05-2008 20:14 808679

Цитата:

Цитата Diak
И вот теперь, после перезагрузки не грузится рабочий стол, только обоина видна. »

Цитата:

Цитата Pili
посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] »

В этом ключике Shell должен иметь значение Explorer.exe.
Цитата:

Цитата Diak
В Дисп задач по прежнему не зайти. »

Через gpedit.msc или где-то в реестре удалить параметр DisableTaskMgr.

Pili 22-05-2008 21:05 808722

Цитата:

Цитата Котяра
Через gpedit.msc или где-то в реестре удалить параметр DisableTaskMgr. »

в реестре это
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
http://www.oszone.net/3632/#7

Diak 23-05-2008 10:49 809033

Проделал выше указанные операции кроме
Цитата:

см. также Как восстановить работу системы после повреждения системного реестра, препятствующего запуску Windows XP Как выполнить обновление (переустановку) Microsoft Windows XP
Смотрел реестр загрузившись с WinXpe. Вроде все правильно было прописано как и у вас. В нормальную систему смог зайти только после замены userinit.exe. Пофиксил дисп задач.
Хотелось бы спросить как дальше действовать? Надо быть уверенным в работоспособности системы, прежде чем отдавать сие чудо.

Pili 23-05-2008 10:54 809035

Цитата:

Цитата Diak
В нормальную систему смог зайти только после замены userinit.exe »

Теперь надо убедиться, что не осталось зловредов, делайте логи по правилам

Diak 23-05-2008 11:38 809065

Логи делаю. Еще хотел спросить, можно ли как нибуть пофиксить безопасный режим? Сейчас он в него не заходит - сразу на перезагрузку

Pili 23-05-2008 12:15 809090

Цитата:

Цитата Diak
можно ли как нибуть пофиксить безопасный режим »

можно будет исправить скриптом AVZ или можете применить следующий reg файл (сохраните перед этим ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot)
сохраните как restore_safebot.reg, примените
Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@="Net"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@="NetClient"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@="NetService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@="NetTrans"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
00


Diak 23-05-2008 12:43 809106

Вложений: 2
смог сделать логи только через hijackthis и Deckard's System Scanner. Avz не хочет запускаться, хотя версия рабочая.
При перезагрузке DisableTaskMgr выставляется на 1. Что то в нем еще живет?!

Pili 23-05-2008 13:21 809135

Diak, зверья ещё полно, зоопарк. Вы с помощью AVPTool проверяли систему?
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:

O2 - BHO: HujApp Class - {8E9F39F8-40EE-4dd2-A439-2A90224E5DB5} - C:\WINDOWS\system32\prxsmr.dll
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\wind32.exe
O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [sfrRsfds.exe] C:\WINDOWS\system32\sfrRsfds.exe
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://vkontakte.ru/uploader/ImageUploader4.cab
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O20 - Winlogon Notify: WLXakr - C:\WINDOWS\SYSTEM32\WLXakr.dll

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (если Combofix не запуститься, попробуйте переименовать его в combo-fix.exe и запустить).
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению
Как использовать ComboFix - how-to-use-combofix
Скачайте SDFix - описание тут, проверьте компьютер, после проверки прикрепите Report.txt к сообщению.
После Сombofix и SDFix AVZ должен заработать, если не заработает, скачайте AVZ, переименованный в game.exe здесь или avz.exe здесь (если не запустится, попробуйте переименовать в 123.pif) и сделайте логи

Diak 23-05-2008 14:41 809202

не знаю нормально ли это... пофиксил через hijackthis.exe. Запустил ComboFix, когда началось сканирование, вылетел вирус(не помню как он называется, но суть такая: вылетает небольшое окно в котором написано: бла бла бла компьютер будет выключен через столько то секунд).

Нет, через AVPTool я не проверял. Др веб юзал

Pili 23-05-2008 14:52 809209

Diak, перезагрузитесь, и сразу запускаете ComboFix, если будет то же самое, перезагрузитесь и начните со следующего шага (SDFix - в безопасном режиме) и AVZ, не забудьте вместе с логами AVZ выложить лог hijackthis

Diak 23-05-2008 16:27 809291

Вложений: 2
перезагрузился, запустил Combofix, при сканировании опять вылетела эта штука, но до выключения он успел что то сделать. Все сделал Sdfix'ом затем запустил AVZ. Логи готовы
зы: уже видно что ему стало получше =)

Pili 23-05-2008 17:43 809340

Отключите восстановление системы!
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('dpti930');
 SetServiceStart('dpti930', 4);
 SetServiceStart('Hmq62', 4);
 SetServiceStart('Yei04', 4);
 SetServiceStart('TosIde', 4);
 SetServiceStart('MS Windows Mouse', 4);
 SetServiceStart('Windows Inet Control Service', 4);
 SetServiceStart('SysmonLogSpooler', 4);
 SetServiceStart('RpcSsSysmonLogSpooler', 4);
QuarantineFile('C:\WINDOWS\system32\MSmouse.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\engqnl.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hmq62.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Yei04.sys','');
QuarantineFile('C:\DOCUME~1\admkar\LOCALS~1\Temp\16.tmp','');
QuarantineFile('C:\WINDOWS\system32\3076p.exe','');
QuarantineFile('C:\WINDOWS\system32\actmoviet.exe','');
QuarantineFile('C:\WINDOWS\system32\MSmouse.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WLXakr.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\sysfldr.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\sfrRsfds.exe','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
QuarantineFile('C:\WINDOWS\system32\prxsmr.dll','');
QuarantineFile('C:\WINDOWS\VFind.exe','');
QuarantineFile('C:\WINDOWS\system32\1031v.exe','');
QuarantineFile('C:\WINDOWS\system32\1025o.dll','');
QuarantineFile('C:\WINDOWS\win32ole.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst596.exe','');
QuarantineFile('C:\WINDOWS\system32\swin32.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst550.exe','');
QuarantineFile('C:\WINDOWS\system32\lnlya.exe','');
QuarantineFile('C:\WINDOWS\system32\WxXK.dll','');
QuarantineFile('C:\WINDOWS\system32\BoKy.dll','');
QuarantineFile('C:\WINDOWS\system32\MxHM.dll','');
QuarantineFile('C:\WINDOWS\system32\Rhxj.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst534.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst563.exe','');
QuarantineFile('C:\WINDOWS\libor.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst593.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst564l.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\hnwtse32.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst449.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst472.exe','');
QuarantineFile('C:\WINDOWS\system32\w104018.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst595.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst602.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst564.exe','');
DeleteFile('C:\WINDOWS\system32\MSmouse.exe');
DeleteFile('C:\WINDOWS\system32\actmoviet.exe');
DeleteFile('C:\WINDOWS\system32\3076p.exe');
DeleteFile('C:\DOCUME~1\admkar\LOCALS~1\Temp\16.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\engqnl.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hmq62.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Yei04.sys');
DeleteFile('C:\WINDOWS\system32\MSmouse.sys');
DeleteFile('C:\WINDOWS\system32\prxsmr.dll');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('C:\WINDOWS\system32\sfrRsfds.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\sysfldr.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WinNt32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WLXakr.dll');
DeleteFile('C:\WINDOWS\system32\1025o.dll');
DeleteFile('C:\WINDOWS\system32\1031v.exe');
DeleteFile('C:\WINDOWS\system32\swin32.dll');
DeleteFile('C:\WINDOWS\system32\ahst596.exe');
DeleteFile('C:\WINDOWS\win32ole.dll');
DeleteFile('C:\WINDOWS\system32\Rhxj.exe');
DeleteFile('C:\WINDOWS\system32\MxHM.dll');
DeleteFile('C:\WINDOWS\system32\BoKy.dll');
DeleteFile('C:\WINDOWS\system32\WxXK.dll');
DeleteFile('C:\WINDOWS\system32\lnlya.exe');
DeleteFile('C:\WINDOWS\system32\ahst550.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\ahst564l.sys');
DeleteFile('C:\WINDOWS\system32\ahst593.exe');
DeleteFile('C:\WINDOWS\libor.exe');
DeleteFile('C:\WINDOWS\system32\ahst563.exe');
DeleteFile('C:\WINDOWS\system32\ahst534.exe');
DeleteFile('C:\WINDOWS\system32\ahst602.exe');
DeleteFile('C:\WINDOWS\system32\ahst595.exe');
DeleteFile('C:\WINDOWS\system32\w104018.exe');
DeleteFile('C:\WINDOWS\system32\ahst472.exe');
DeleteFile('C:\WINDOWS\system32\ahst449.exe');
DeleteFile('C:\WINDOWS\system32\hnwtse32.dll');
DeleteFile('C:\WINDOWS\system32\ahst564.exe');
 DeleteService('SysmonLogSpooler');
 DeleteService('Windows Inet Control Service');
 DeleteService('RpcSsSysmonLogSpooler');
 DeleteService('MS Windows Mouse');
 DeleteService('TosIde');
 DeleteService('Hmq62');
 DeleteService('Yei04');
 DeleteService('dpti930');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('dpti930 ');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\engqnl.sys');
 BC_DeleteFile('C:\WINDOWS\system32\MSmouse.sys');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
пофиксите в hijackthis
Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
O20 - Winlogon Notify: WLXakr - C:\WINDOWS\

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Запустите снова Combofix, если не запустится, скачайте ещё раз и запустите, прикрепите C:\ComboFix.txt к след. сообщению.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan",
после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
тут есть картинки по использованию Malwarebytes' Anti-Malware.
Можете также проверить систему с помощью AVPTool

Повторите логи virusinfo_syscheck.zip (AVZ уже можно использовать обычный, обновив базы), hijackthis (у вас HijackThis v1.99.1 - скачайте новую версию HijackThis) и повторите логи DSS

Котяра 23-05-2008 19:26 809406

Цитата:

Цитата Pili
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" »

Этот параметр реестра Microsoft Windows XP отвечает за альтернативную оболочку Microsoft Windows. Она используется при загрузке в безопасном режиме с командной строкой. Некоторые вирусы меняют ее.

Diak 23-05-2008 20:19 809443

сделаем паузу до понедельника? Ноут на работе остался.

Pili 23-05-2008 20:46 809456

Diak, Нет проблем :)

Diak 26-05-2008 14:25 811019

Вложений: 4
Добрый день, продолжим? =)
Все сделал что написано выше.
Вот логи
ЗЫ: Письмо отправил

Diak 26-05-2008 15:12 811074

Сейчас установил Dr Web но запустить не получается, какая то бяка блокирует

Diak 26-05-2008 15:45 811110

сейчас еще решил проверить быстрым сканом через Curelt. Нашел 5-6 файлов со статусом: win32.sector 5. Один из этих файлов rundll32.exe. Лечить их?

Pili 26-05-2008 16:33 811166

Diak,
Обычный AVZ не запускается? Cureit и AVPTool тоже не запускаются? Нет лога extra.txt от DSS
Еще раз отключите восстановление системы, скачайте и запустите IceSword. Выберите в меню File, появится аналог проводника, найдите в нем указанные файлы
Цитата:

C:\WINDOWS\system32\drivers\engqnl.sys
C:\WINDOWS\system32\Drivers\Hmq62.sys
C:\WINDOWS\system32\Drivers\Yei04.sys
нажмите по ним правой кнопкой мыши и выберите force delete. На запрос подтверждения ответьте "да".
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('dpti930');
 StopService('Hmq62');
 StopService('Windows Inet Control Service');
 SetServiceStart('Hmq62', 4);
 SetServiceStart('dpti930', 4);
 SetServiceStart('Windows Inet Control Service', 4);
 QuarantineFile('C:\DOCUME~1\admkar\LOCALS~1\TempIadHide3.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 DeleteService('dpti930');
 DeleteService('Hmq62');
 DeleteService('Yei04');
 DeleteService('Windows Inet Control Service');
 DeleteFile('C:\WINDOWS\system32\drivers\engqnl.sys');
 DeleteFile('Windows Inet Control Service.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Hmq62.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Yei04.sys');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteFile('Windows Inet Control Service.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Hmq62.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Yei04.sys');
 BC_DeleteSvc('Yei04');
 BC_DeleteSvc('dpti930');
 BC_DeleteSvc('Hmq62');
 BC_DeleteSvc('Windows Inet Control Service');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Сохраните как fix.reg и примените
Код:

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ef5ef04-2bed-11dc-825d-cc888126add9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e576b8f8-9925-11dc-832c-00904b4e0f9a}]

Удалите combofix - пуск-выполнить combofix /u
Удалите из планировщика заданий Microsoft_Hardware_Launch_setup_exe.job
Сделайте новые логи AVZ (запустите обычный AVZ - не версию game.exe, обновите базы) и hijackthis
Цитата:

Цитата Diak
решил проверить быстрым сканом через Curelt »

запускать надо полную проверку, рекомендую ещё провериться с помощью AVPTool
Цитата:

Цитата Diak
Один из этих файлов rundll32.exe. Лечить их? »

да, и возможно вам потребуется выполнить sfc /scannow, потребуется установочный диск

Diak 26-05-2008 18:09 811268

AVZ нормальный( не game) не запускается. Dr web тоже. Curelt запускается нормально.

Цитата:

Цитата Pili
C:\WINDOWS\system32\drivers\engqnl.sys
C:\WINDOWS\system32\Drivers\Hmq62.sys
C:\WINDOWS\system32\Drivers\Yei04.sys »

IceSword не нашел эти файлы

Цитата:

Цитата Pili
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет. »

Эт все сделал. Рег файл добавил, комбофикс и Microsoft_Hardware_Launch_setup_exe.job тоже удалил. AVZ все еще не хочет запускаться
quarantine.zip чуть позже отправлю, до дома доберусь

Diak 26-05-2008 19:44 811328

Вложений: 1
hijackthis.rar
отправил по мылу и залил в файлообменник.

Pili 26-05-2008 22:09 811431

Diak, часть файлов из карантина отправлена в вирлаб на доп. анализ
У вас файловый вирус Virus.Win32.Sality.y по Касперскому (по DrWeb это Win32.sector5), м.б. модификация, лечите с помощью cureit (лечить до тех пор пока не перестанет обнаруживаться), AVPTool или Dr.Web LiveCD
Цитата:

В настоящее время эффективны две стратегии лечения файловых вирусов:

1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.

Этот способ может не помочь, если антивирус DrWeb не знает модификацию вируса, заразившего Ваш компьютер. Если это так, отправьте несколько зараженных файлов в вирусную лабораторию Dr. Web. В течении суток CureIT! "научится" лечить вирус, правда утилиту придется скачать заново на "чистом" компьютере.

2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом Касперского или Dr. Web. Именно эти антивирусы делают упор на сигнатурный детект, который необходим в лечении классических вирусов. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверки\лечения верните диск на место.

Данный способ также не гарантирует успеха, если антивирус не знает вирус. Кроме того его нельзя применять если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска.


Ни один из вышеперечисленных способов не гарантирует 100% восстановления поврежденных файлов и их работоспособности. Если поврежденные данные для Вас очень ценны, рекомендуем обратится в сервисный центр.
источник

Можете отправить файлы (или целиком карантин), зараженные этим вирусом в ЛК на newvirus@kaspersky.com или в лабораторию DrWeb для уточнения корректности лечения вашей версии вируса (в вашем карантине это файлы vedxg6ame4.exe, mrofinu27.exe в архиве avz00007.dta и, как вы раньше упоминали, rundll32.exe)
После лечения рекомендую выполнить восстановление системных файлов - sfc /scannow и сделать лог AVZ virusinfo_syscheck.zip

Diak 27-05-2008 09:40 811662

понятно.
Сейчас начал проверять последним Курельтом. Проверил 1/3 но уже 79 win32.Sector5 нашел.
Такое ощущение, что он exe формат заражает( все, что он нашел - exe).

Pili 27-05-2008 09:49 811668

Diak, Это ещё не всё, возможно потребуется несколько раз проводить проверку, вирус на редкость живучий (рек-ся проверить ещё с помощью AVPTool, доп.-но проверить все флешки и др. носители), тут описание.

PavelA_VI 27-05-2008 10:27 811701

Желательно сначала пролечится в защищенном режиме. Если после очередной проверки ничего не будет найдено, то тогда можно переходить к лечению в обычном режиме.

Diak 27-05-2008 10:30 811702

закончил, 220 нашел =). Вроде все исцелил/удалил. Сейчас надеюсь нормально перезагружусь и еще проверю

PavelA_VI
если вы имеете ввиду в безопасном режиме, то туда не зайти... Правка реестра уже не помогает ^^

Diak 27-05-2008 12:10 811763

Ура! Вобщем проверил я еще несколько раз - ничего не нашел. Сегодня утром компутер устанавливать анивирус еще не хотел, но после удаление win32.Sality все нормально заработало. Всем большое спасибо, особенно Pili ! С меня пиво/сок ^^ :clapping: :oszone:

Pili 27-05-2008 12:57 811792

Diak, пожалуйста :)
С помошью AVPTool ещё проверьте систему и сделайте логи AVZ virusinfo_syscheck.zip (2-ой скрит), hijackthis для контроля

Diak 27-05-2008 14:07 811840

уже отдал ноут, ибо хозяева напрягали. Хотел спросить, как курельт нашел сегодня столько заразы, а раньше это игнорировал? Это как то связано с отправкой карантина.зип на мыло?

Pili 27-05-2008 15:10 811883

Цитата:

Цитата Diak
Это как то связано с отправкой карантина.зип на мыло? »

Нет, на анализ в ЛК я отправил только зловреды, не определяемые антивирусом касперского.
Цитата:

Цитата Diak
а раньше это игнорировал? »

drweb умел лечить sector.5 с 2008-05-05 19:30, возможно у вас базы (или версия cureit) были старые, а возможно связано с тем что скриптами и предыдущим лечением убрали много другой заразы (в т.ч. и руткиты), кстати в системе жили зловреды, ворующие пароли - меняйте все пароли.

esel 28-07-2008 22:01 863107

Никто не пробовал после этого вируса грузиться в Safe Mode? Попробуйте и будете удивлены. Винда не будет грузится. Поврежден реестр. Отсюда вопрос. Как починить реестр?

Petya V4sechkin 29-07-2008 11:44 863445

esel, если у вас проблема, создайте отдельную тему, выполнив требуемые действия.


Время: 03:24.

Время: 03:24.
© OSzone.net 2001-