Никуда не зайти(безп режим, дисп задач, explorer)
 

Всем привет. Вот на днях принесли мне ноутбук с кучей вирусов. С самого начала:
- в сейв мод не зайти, сразу на перезагрузку, я так думаю вируса поработали.
- не заходил в дисп задач - выключено администратором, хоть я и заходил под админом - тоже вируса поработали( ну это ладно, можно включить в винде).
- запуск сканеров антивирусов блочил, не давал запускать.
Ну эт все ладно, пошаманив немного сканер запустился, нашел кучу бяк, благопалучно удалил. Вот только я накосячил и не просмотрел весь список найденных вирусов. Выделил все - fix/delete.
И вот теперь, после перезагрузки не грузится рабочий стол, только обоина видна. В Дисп задач по прежнему не зайти. В Безопасный режим тоже. Вот я и хотел бы у вас спросить, возможно ли как нибуть восстановить систему?
Зы: винда - Win Xp Professional
зызы: сейчас в систему получается зайти только через диск winXPE
зызызы: Пробывал восстановить explorer через AVZ - не помогло. В реестре вроде все правильно.

1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
не забудьте выгрузить куст
Можете попробовать заменить файл userinit.exe на такой же. взяты с чистой системы.
Также загрузить файл SYSTEM, смотрим во всех ветках реестра ControlSet00#\Control\Session Manager\SubSystems
где 00# = 001, 002, ...
Параметр: Windows
Если вместо basesrv что-то другое, проверяем есть ли на диске больной системы файл C:\WINDOWS\system32\basesrv.dll и файл-зловред basexxxx32.dll, копируем оригинальный basesrv.dll на basexxxx32.dll, исправляем в реестре ServerDll=basesrv
см. также Как восстановить работу системы после повреждения системного реестра, препятствующего запуску Windows XP
Как выполнить обновление (переустановку) Microsoft Windows XP - начать с раздела "Восстановление системы"
Если не помогло, покажите что у вас в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\

AVZ запускается? Тогда делайте логи по правилам

Заранее спасибо, завтра на работе попробую. Если что, отпишусь.
Да AVZ запускается но при загрузке через диск winXPE

Такой лог не нужен (бесполезен), попробуйте рекомендации выше

В этом ключике Shell должен иметь значение Explorer.exe.Через gpedit.msc или где-то в реестре удалить параметр DisableTaskMgr.

в реестре это
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
http://www.oszone.net/3632/#7

Проделал выше указанные операции кроме
Смотрел реестр загрузившись с WinXpe. Вроде все правильно было прописано как и у вас. В нормальную систему смог зайти только после замены userinit.exe. Пофиксил дисп задач.
Хотелось бы спросить как дальше действовать? Надо быть уверенным в работоспособности системы, прежде чем отдавать сие чудо.

Теперь надо убедиться, что не осталось зловредов, делайте логи по правилам

Логи делаю. Еще хотел спросить, можно ли как нибуть пофиксить безопасный режим? Сейчас он в него не заходит - сразу на перезагрузку

можно будет исправить скриптом AVZ или можете применить следующий reg файл (сохраните перед этим ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot)
сохраните как restore_safebot.reg, примените

смог сделать логи только через hijackthis и Deckard's System Scanner. Avz не хочет запускаться, хотя версия рабочая.
При перезагрузке DisableTaskMgr выставляется на 1. Что то в нем еще живет?!

Diak, зверья ещё полно, зоопарк. Вы с помощью AVPTool проверяли систему?
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (если Combofix не запуститься, попробуйте переименовать его в combo-fix.exe и запустить).
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению
Как использовать ComboFix - how-to-use-combofix
Скачайте SDFix - описание тут, проверьте компьютер, после проверки прикрепите Report.txt к сообщению.
После Сombofix и SDFix AVZ должен заработать, если не заработает, скачайте AVZ, переименованный в game.exe здесь или avz.exe здесь (если не запустится, попробуйте переименовать в 123.pif) и сделайте логи

не знаю нормально ли это... пофиксил через hijackthis.exe. Запустил ComboFix, когда началось сканирование, вылетел вирус(не помню как он называется, но суть такая: вылетает небольшое окно в котором написано: бла бла бла компьютер будет выключен через столько то секунд).

Нет, через AVPTool я не проверял. Др веб юзал

Diak, перезагрузитесь, и сразу запускаете ComboFix, если будет то же самое, перезагрузитесь и начните со следующего шага (SDFix - в безопасном режиме) и AVZ, не забудьте вместе с логами AVZ выложить лог hijackthis

перезагрузился, запустил Combofix, при сканировании опять вылетела эта штука, но до выключения он успел что то сделать. Все сделал Sdfix'ом затем запустил AVZ. Логи готовы
зы: уже видно что ему стало получше =)

Отключите восстановление системы!
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
пофиксите в hijackthis
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Запустите снова Combofix, если не запустится, скачайте ещё раз и запустите, прикрепите C:\ComboFix.txt к след. сообщению.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan",
после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
тут есть картинки по использованию Malwarebytes' Anti-Malware.
Можете также проверить систему с помощью AVPTool

Повторите логи virusinfo_syscheck.zip (AVZ уже можно использовать обычный, обновив базы), hijackthis (у вас HijackThis v1.99.1 - скачайте новую версию HijackThis) и повторите логи DSS

Этот параметр реестра Microsoft Windows XP отвечает за альтернативную оболочку Microsoft Windows. Она используется при загрузке в безопасном режиме с командной строкой. Некоторые вирусы меняют ее.

сделаем паузу до понедельника? Ноут на работе остался.

Diak, Нет проблем :)

Добрый день, продолжим? =)
Все сделал что написано выше.
Вот логи
ЗЫ: Письмо отправил

Сейчас установил Dr Web но запустить не получается, какая то бяка блокирует

сейчас еще решил проверить быстрым сканом через Curelt. Нашел 5-6 файлов со статусом: win32.sector 5. Один из этих файлов rundll32.exe. Лечить их?

Diak,
Обычный AVZ не запускается? Cureit и AVPTool тоже не запускаются? Нет лога extra.txt от DSS
Еще раз отключите восстановление системы, скачайте и запустите IceSword. Выберите в меню File, появится аналог проводника, найдите в нем указанные файлы
нажмите по ним правой кнопкой мыши и выберите force delete. На запрос подтверждения ответьте "да".
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Сохраните как fix.reg и примените
Удалите combofix - пуск-выполнить combofix /u
Удалите из планировщика заданий Microsoft_Hardware_Launch_setup_exe.job
Сделайте новые логи AVZ (запустите обычный AVZ - не версию game.exe, обновите базы) и hijackthis
запускать надо полную проверку, рекомендую ещё провериться с помощью AVPTool
да, и возможно вам потребуется выполнить sfc /scannow, потребуется установочный диск

AVZ нормальный( не game) не запускается. Dr web тоже. Curelt запускается нормально.

IceSword не нашел эти файлы

Эт все сделал. Рег файл добавил, комбофикс и Microsoft_Hardware_Launch_setup_exe.job тоже удалил. AVZ все еще не хочет запускаться
quarantine.zip чуть позже отправлю, до дома доберусь

hijackthis.rar
отправил по мылу и залил в файлообменник.

Diak, часть файлов из карантина отправлена в вирлаб на доп. анализ
У вас файловый вирус Virus.Win32.Sality.y по Касперскому (по DrWeb это Win32.sector5), м.б. модификация, лечите с помощью cureit (лечить до тех пор пока не перестанет обнаруживаться), AVPTool или Dr.Web LiveCD
источник

Можете отправить файлы (или целиком карантин), зараженные этим вирусом в ЛК на newvirus@kaspersky.com или в лабораторию DrWeb для уточнения корректности лечения вашей версии вируса (в вашем карантине это файлы vedxg6ame4.exe, mrofinu27.exe в архиве avz00007.dta и, как вы раньше упоминали, rundll32.exe)
После лечения рекомендую выполнить восстановление системных файлов - sfc /scannow и сделать лог AVZ virusinfo_syscheck.zip

понятно.
Сейчас начал проверять последним Курельтом. Проверил 1/3 но уже 79 win32.Sector5 нашел.
Такое ощущение, что он exe формат заражает( все, что он нашел - exe).

Diak, Это ещё не всё, возможно потребуется несколько раз проводить проверку, вирус на редкость живучий (рек-ся проверить ещё с помощью AVPTool, доп.-но проверить все флешки и др. носители), тут описание.

Желательно сначала пролечится в защищенном режиме. Если после очередной проверки ничего не будет найдено, то тогда можно переходить к лечению в обычном режиме.

закончил, 220 нашел =). Вроде все исцелил/удалил. Сейчас надеюсь нормально перезагружусь и еще проверю

PavelA_VI
если вы имеете ввиду в безопасном режиме, то туда не зайти... Правка реестра уже не помогает ^^

Ура! Вобщем проверил я еще несколько раз - ничего не нашел. Сегодня утром компутер устанавливать анивирус еще не хотел, но после удаление win32.Sality все нормально заработало. Всем большое спасибо, особенно Pili ! С меня пиво/сок ^^ :clapping: :oszone:

Diak, пожалуйста :)
С помошью AVPTool ещё проверьте систему и сделайте логи AVZ virusinfo_syscheck.zip (2-ой скрит), hijackthis для контроля

уже отдал ноут, ибо хозяева напрягали. Хотел спросить, как курельт нашел сегодня столько заразы, а раньше это игнорировал? Это как то связано с отправкой карантина.зип на мыло?

Нет, на анализ в ЛК я отправил только зловреды, не определяемые антивирусом касперского.
drweb умел лечить sector.5 с 2008-05-05 19:30, возможно у вас базы (или версия cureit) были старые, а возможно связано с тем что скриптами и предыдущим лечением убрали много другой заразы (в т.ч. и руткиты), кстати в системе жили зловреды, ворующие пароли - меняйте все пароли.

Никто не пробовал после этого вируса грузиться в Safe Mode? Попробуйте и будете удивлены. Винда не будет грузится. Поврежден реестр. Отсюда вопрос. Как починить реестр?

esel, если у вас проблема, создайте отдельную тему, выполнив требуемые действия.