Показать полную графическую версию : [решено] Обнаружен троян, блокирующий Windows XP PRO SP3
sepembra
04-01-2011, 11:05
Здравствуйте, загружается только фон рабочего стола, ни чего не работает, диспетчер задач заблокирован администратором!
Дело в том что антивирус заблокировал троян (видимо не полностью), видимо поэтому ни каких информеров о блокеровке винды нет! и после перезапуска системы только фон рабочего стола!
У меня установлена Win 7 на другом диске, проверил раздел диска с win XP с помощью Dr.Web CureIt! и kaspersky virus removal tool - не помогло!
На DVD есть ERDcommander, но при запуске он видит все разделы жестких дисков пустыми, толи так должно быть, толи я чего то не понимаю!
Прошу помощи господа
SolarSpark
04-01-2011, 11:15
Доброго дня.
Можете выполнитьрекомендации (http://forum.oszone.net/thread-98169.html)? полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме.
sepembra
04-01-2011, 11:30
запускаю Autoruns, ввожу следущие значения в поле file / analyze offline system
http://upload.akusherstvo.ru/thumbs/319822.png (http://upload.akusherstvo.ru/image319822.png)
но програма падает
http://upload.akusherstvo.ru/thumbs/319823.png (http://upload.akusherstvo.ru/image319823.png)
далее просканировал раздел диска с Win XP с помощью AVZ
снизу лог-файл
sepembra
04-01-2011, 11:32
Можете выполнитьрекомендации? »
могу, но скрипты как я понял выполняются для запущенной винда, а я сейчас на WIN 7
SolarSpark
04-01-2011, 12:02
1.Попробуйте сочетания клавиш
wind +R , где (клавиша с логотипом Windows на клавиатуре, которой соответствует кнопка Start или Пуск в левом углу экрана) далее вписать explorer и нажать enter так должны будем запустить explorer где вы сможете уже работать и дать нам необходимые логи
2.ERD Commander
2.Загрузитесь с этого диска.
3.Кнопка Пуск -> Выполнить -> erdregedit
4.Посмотрите в реестре:
ветка:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значения параметров: UserInit и Shell
Правильное значение для Userinit
C:\WINDOWS\system32\userinit.exe,
Значение ключа Shell должно быть таким
Explorer.exe
если значение отличается - исправить на правильное.
Ищем и УДАЛЯЕМ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe
sepembra
04-01-2011, 12:38
значения параметров: UserInit и Shell »
все в порядке
Ищем и УДАЛЯЕМ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe »
данные строки отсутствуют
SolarSpark
04-01-2011, 12:41
1.Попробуйте сочетания клавиш
wind +R »
с этим получилось?
в безопасном режиме загружается система?
sepembra
04-01-2011, 12:45
с этим получилось?
в безопасном режиме загружается система? »
Вы добавили это позже, сейчас попробую
sepembra
04-01-2011, 13:06
сочетания клавиш
wind +R »
не работает, только фон рабочего стола и курсор мыши, ни одна кнопна на клаве и на мыши не работают!
ок давайте еще разУ меня установлена Win 7 на другом диске, »
на другом логическом диске или на другом HDD? так же можете попробовать wind +U
выбрать экранную клавиатуру выбрать клавиши Ctrl +Shift +Esc должен будет выйти дисп задач откуда уже сможете запустить программу, если не получается то
далее пробуйте зайти в безопасный режим
для этого при загрузке нажимаем клавишу F8 и выбираем безопасный режим (safe mode) и жмем enter далее
предварительно вам надо будет на флэшку скачать AVZ там же распаковать запустить и обновить базы вставляем флэшку в окмп запускаем в безопасном режиме и делаем нужные нам логи
как это делать запускаем avz выбираем файл далее стандартные скрипты далее скрипт номер1 жмем выполнить отмеченные операции
2. AVZ => Исследование системы необходимо переключить "Только активные службы и драйверы" на "Все службы и драйверы" => Пуск укажите где сохранить протокол. далее пуск
. Необходимо упаковать протокол в архив zip или rar и прикрепите к сообщению.
sepembra
04-01-2011, 16:45
перед этим всем я сного запустил проверку диска с Win XP? вот что нашел и удалил:
http://upload.akusherstvo.ru/thumbs/319855.png (http://upload.akusherstvo.ru/image319855.png)
на другом логическом диске или на другом HDD? »
на другом логическом
выбрать экранную клавиатуру выбрать клавиши Ctrl +Shift +Esc должен будет выйти дисп задач »
не получилось
* далее я запустил в безопасном режиме - черный экран, ни чего не работает
*далее запустил в беопасном режиме с поддержкой командной строки, в строку ввел exlorer.exe - открылся проводник
с помощью проводника запустил AVZ установленный на PC (с флешки не удалось) со свежими базами.
далее я выполнил скрипт №1, затем иследование системы! Архив прикрепил!
sepembra
04-01-2011, 17:20
в беопасном режиме выполнил стандартные логи AVZ
SolarSpark
04-01-2011, 18:36
а говорили ничего нет в Shell
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\project2.exe','');
QuarantineFile('arakrnl.exe','');
DeleteFile('arakrnl.exe');
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
DelAutorunByFileName('arakrnl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
После перезагрузки выполните такой скрипт:
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы
Сделайте повторные логи AVZ + RSIR
Если у вас 32 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то скачайте Random's System Information Tool (RSIT) (http://www.virusnet.info/random/RSIT.exe) или с зеркала (http://images.malwareremoval.com/random/RSIT.exe)
Если у вас 64 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 (http://www.virusnet.info/random/RSITx64.exe) или с зеркала (http://images.malwareremoval.com/random/RSITx64.exe)
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
sepembra
04-01-2011, 21:11
а говорили ничего нет в Shell »
странно, мож я ослеп, может ERDcommander не фурычитhttp://www.kolobok.us/smiles/big_standart/scratch_one-s_head.gif
после первого скрипта в безопасном режиме запускался только черный экран с мигающей черточкой, в обычном режиме win XP загружался до бесконечности долго. Запустилось все только после выбора "загрузка с последней работоспособной версии"
Отправьте c:\quarantine.zip »
отправил http://www.kolobok.us/smiles/big_standart/yes.gif
Сделайте повторные логи AVZ + RSIR »
сделал, и запаковал в один архив http://www.kolobok.us/smiles/icq/smile.gif
SolarSpark
04-01-2011, 22:00
как сейчас загрузка происходит?
sepembra
04-01-2011, 22:08
maniy77, пока вроде хорошо, надо подождать денек!
Спасибо тебе большое за все http://www.kolobok.us/smiles/icq/drinks.gif
SolarSpark
04-01-2011, 22:11
E:\PROGRAMS\FireFox\firefox.exe Мозилу сами сюда устанавливали?
Проверьте файлы на www.virustotal.com (http://www.virustotal.com/)
C:\Program Files\OKLICK Office Keyboard & Mouse Driver\OFFICEKEYBOARD\PS2USBKbdDrv.exe
C:\WINDOWS\system32\drivers\project2.exe
что за папки?
C:\WINDOWS\D56B0E274A3E46C9B5C1D93D580C099C.TMP
C:\WINDOWS\8A809006C25A4A3A9DAB94659BCDB107.TMP
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл
• Выполните скрипт AVZ
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "
Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R3 - URLSearchHook: (no name) - - (no file)
InterSvyaz - ваш провайдер?
повторите лог RSIT +
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
sepembra
04-01-2011, 23:34
обождите немного »
жду
SolarSpark
04-01-2011, 23:43
ответила, делайте логи-завтра продолжим=)
скрипт подправила, будьте внимательны
sepembra
05-01-2011, 11:05
ответила? девушка http://www.kolobok.us/smiles/big_standart/rolleyes.gif
Мозилу сами сюда устанавливали? »
да http://www.kolobok.us/smiles/icq/yes.gif
C:\Program Files\OKLICK Office Keyboard & Mouse Driver\OFFICEKEYBOARD\PS2USBKbdDrv.exe »
это дровишки на беспроводную клавиатуру , с ними все в порядке, проверил
C:\WINDOWS\system32\drivers\project2.exe »
этот файл невидимый
что за папки?
C:\WINDOWS\D56B0E274A3E46C9B5C1D93D580C099C.TMP
C:\WINDOWS\8A809006C25A4A3A9DAB94659BCDB107.TMP »
понятия не имею http://www.kolobok.us/smiles/big_standart/unknown.gif
оба скрипта выполнил, результаты отправил, HijackThis профиксил
InterSvyaz - ваш провайдер? »
да http://www.kolobok.us/smiles/big_standart/rolleyes2.gif
сейчас Malwarebytes' Anti-Malware выполняется http://www.kolobok.us/smiles/big_standart/timeout.gif
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC