PDA

Показать полную графическую версию : [решено] Обнаружен троян, блокирующий Windows XP PRO SP3


Страниц : [1] 2

sepembra
04-01-2011, 11:05
Здравствуйте, загружается только фон рабочего стола, ни чего не работает, диспетчер задач заблокирован администратором!
Дело в том что антивирус заблокировал троян (видимо не полностью), видимо поэтому ни каких информеров о блокеровке винды нет! и после перезапуска системы только фон рабочего стола!
У меня установлена Win 7 на другом диске, проверил раздел диска с win XP с помощью Dr.Web CureIt! и kaspersky virus removal tool - не помогло!
На DVD есть ERDcommander, но при запуске он видит все разделы жестких дисков пустыми, толи так должно быть, толи я чего то не понимаю!
Прошу помощи господа

SolarSpark
04-01-2011, 11:15
Доброго дня.
Можете выполнитьрекомендации (http://forum.oszone.net/thread-98169.html)? полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме.

sepembra
04-01-2011, 11:30
запускаю Autoruns, ввожу следущие значения в поле file / analyze offline system
http://upload.akusherstvo.ru/thumbs/319822.png (http://upload.akusherstvo.ru/image319822.png)
но програма падает
http://upload.akusherstvo.ru/thumbs/319823.png (http://upload.akusherstvo.ru/image319823.png)

далее просканировал раздел диска с Win XP с помощью AVZ
снизу лог-файл

sepembra
04-01-2011, 11:32
Можете выполнитьрекомендации? »
могу, но скрипты как я понял выполняются для запущенной винда, а я сейчас на WIN 7

SolarSpark
04-01-2011, 12:02
1.Попробуйте сочетания клавиш
wind +R , где (клавиша с логотипом Windows на клавиатуре, которой соответствует кнопка Start или Пуск в левом углу экрана) далее вписать explorer и нажать enter так должны будем запустить explorer где вы сможете уже работать и дать нам необходимые логи

2.ERD Commander
2.Загрузитесь с этого диска.
3.Кнопка Пуск -> Выполнить -> erdregedit
4.Посмотрите в реестре:
ветка:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

значения параметров: UserInit и Shell

Правильное значение для Userinit

C:\WINDOWS\system32\userinit.exe,

Значение ключа Shell должно быть таким


Explorer.exe

если значение отличается - исправить на правильное.

Ищем и УДАЛЯЕМ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe

sepembra
04-01-2011, 12:38
значения параметров: UserInit и Shell »
все в порядке

Ищем и УДАЛЯЕМ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe »
данные строки отсутствуют

SolarSpark
04-01-2011, 12:41
1.Попробуйте сочетания клавиш
wind +R »
с этим получилось?

в безопасном режиме загружается система?

sepembra
04-01-2011, 12:45
с этим получилось?
в безопасном режиме загружается система? »
Вы добавили это позже, сейчас попробую

sepembra
04-01-2011, 13:06
сочетания клавиш
wind +R »
не работает, только фон рабочего стола и курсор мыши, ни одна кнопна на клаве и на мыши не работают!

Arbitr
04-01-2011, 14:02
ок давайте еще разУ меня установлена Win 7 на другом диске, »
на другом логическом диске или на другом HDD? так же можете попробовать wind +U
выбрать экранную клавиатуру выбрать клавиши Ctrl +Shift +Esc должен будет выйти дисп задач откуда уже сможете запустить программу, если не получается то
далее пробуйте зайти в безопасный режим
для этого при загрузке нажимаем клавишу F8 и выбираем безопасный режим (safe mode) и жмем enter далее
предварительно вам надо будет на флэшку скачать AVZ там же распаковать запустить и обновить базы вставляем флэшку в окмп запускаем в безопасном режиме и делаем нужные нам логи
как это делать запускаем avz выбираем файл далее стандартные скрипты далее скрипт номер1 жмем выполнить отмеченные операции
2. AVZ => Исследование системы необходимо переключить "Только активные службы и драйверы" на "Все службы и драйверы" => Пуск укажите где сохранить протокол. далее пуск
. Необходимо упаковать протокол в архив zip или rar и прикрепите к сообщению.

sepembra
04-01-2011, 16:45
перед этим всем я сного запустил проверку диска с Win XP? вот что нашел и удалил:


http://upload.akusherstvo.ru/thumbs/319855.png (http://upload.akusherstvo.ru/image319855.png)



на другом логическом диске или на другом HDD? »
на другом логическом
выбрать экранную клавиатуру выбрать клавиши Ctrl +Shift +Esc должен будет выйти дисп задач »
не получилось

* далее я запустил в безопасном режиме - черный экран, ни чего не работает
*далее запустил в беопасном режиме с поддержкой командной строки, в строку ввел exlorer.exe - открылся проводник
с помощью проводника запустил AVZ установленный на PC (с флешки не удалось) со свежими базами.
далее я выполнил скрипт №1, затем иследование системы! Архив прикрепил!

sepembra
04-01-2011, 17:20
в беопасном режиме выполнил стандартные логи AVZ

SolarSpark
04-01-2011, 18:36
а говорили ничего нет в Shell

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\project2.exe','');
QuarantineFile('arakrnl.exe','');
DeleteFile('arakrnl.exe');
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
DelAutorunByFileName('arakrnl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

Сделайте повторные логи AVZ + RSIR

Если у вас 32 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то скачайте Random's System Information Tool (RSIT) (http://www.virusnet.info/random/RSIT.exe) или с зеркала (http://images.malwareremoval.com/random/RSIT.exe)
Если у вас 64 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 (http://www.virusnet.info/random/RSITx64.exe) или с зеркала (http://images.malwareremoval.com/random/RSITx64.exe)
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

sepembra
04-01-2011, 21:11
а говорили ничего нет в Shell »
странно, мож я ослеп, может ERDcommander не фурычитhttp://www.kolobok.us/smiles/big_standart/scratch_one-s_head.gif
после первого скрипта в безопасном режиме запускался только черный экран с мигающей черточкой, в обычном режиме win XP загружался до бесконечности долго. Запустилось все только после выбора "загрузка с последней работоспособной версии"

Отправьте c:\quarantine.zip »
отправил http://www.kolobok.us/smiles/big_standart/yes.gif
Сделайте повторные логи AVZ + RSIR »
сделал, и запаковал в один архив http://www.kolobok.us/smiles/icq/smile.gif

SolarSpark
04-01-2011, 22:00
как сейчас загрузка происходит?

sepembra
04-01-2011, 22:08
maniy77, пока вроде хорошо, надо подождать денек!
Спасибо тебе большое за все http://www.kolobok.us/smiles/icq/drinks.gif

SolarSpark
04-01-2011, 22:11
E:\PROGRAMS\FireFox\firefox.exe Мозилу сами сюда устанавливали?

Проверьте файлы на www.virustotal.com (http://www.virustotal.com/)
C:\Program Files\OKLICK Office Keyboard & Mouse Driver\OFFICEKEYBOARD\PS2USBKbdDrv.exe
C:\WINDOWS\system32\drivers\project2.exe


что за папки?
C:\WINDOWS\D56B0E274A3E46C9B5C1D93D580C099C.TMP
C:\WINDOWS\8A809006C25A4A3A9DAB94659BCDB107.TMP


Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "

Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!


Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R3 - URLSearchHook: (no name) - - (no file)

InterSvyaz - ваш провайдер?

повторите лог RSIT +
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

sepembra
04-01-2011, 23:34
обождите немного »
жду

SolarSpark
04-01-2011, 23:43
ответила, делайте логи-завтра продолжим=)
скрипт подправила, будьте внимательны

sepembra
05-01-2011, 11:05
ответила? девушка http://www.kolobok.us/smiles/big_standart/rolleyes.gif
Мозилу сами сюда устанавливали? »
да http://www.kolobok.us/smiles/icq/yes.gif
C:\Program Files\OKLICK Office Keyboard & Mouse Driver\OFFICEKEYBOARD\PS2USBKbdDrv.exe »
это дровишки на беспроводную клавиатуру , с ними все в порядке, проверил
C:\WINDOWS\system32\drivers\project2.exe »
этот файл невидимый
что за папки?
C:\WINDOWS\D56B0E274A3E46C9B5C1D93D580C099C.TMP
C:\WINDOWS\8A809006C25A4A3A9DAB94659BCDB107.TMP »

понятия не имею http://www.kolobok.us/smiles/big_standart/unknown.gif


оба скрипта выполнил, результаты отправил, HijackThis профиксил
InterSvyaz - ваш провайдер? »
да http://www.kolobok.us/smiles/big_standart/rolleyes2.gif


сейчас Malwarebytes' Anti-Malware выполняется http://www.kolobok.us/smiles/big_standart/timeout.gif




© OSzone.net 2001-2012