Перейти к содержанию
Правила раздела

Не запускается реестр, Ccleaner, AVZ и открывается сайт про игры

Тимофей 1988

Автор Тимофей 1988
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Тимофей 1988

Тимофей 1988

Опубликовано
Опубликовано

Проблема очень схожа с http://forum.kasperskyclub.ru/index.php?showtopic=46273

 

Компьютер стал сам запускать браузер и открывать сайт bizigames.org при загрузке Windows. В msconfig нашелся процесс в Автозагрузке - "Операционная система Windows - cmd.exe /c start http://zenigameblinger.org&&exit" (скрин в атаче). Процесс отключил, сайт перестал открываться. Выяснилось что путь к этой команде в реестре я удалить не могу, потому что команда regedit перестала работать. AVZ, Ccleaner так же не запускаются. Переименовал AVZ, запустил, просканировал, он ничего не смог найти. Просканировал так же утилитой Dr.Web Cure it - нашел несколько "вредоносных" приложений, но я почти уверен что это не все. Просканировал последним Касперским - вообще ничего не нашел, 0. Установил утилиту Reg Organizer, она нашла ошибки, сделал много исправлений каких-то. Проверил путь к той команде запускать сайт - его уже не оказалось в реестре. Так же пробовал с помощью AVZ сделать восстановление работоспособности реестра. Не помогло. В итоге не работает реестр, Ccleaner, AVZ, хотя вроде бы все окей должно быть.

 

Выполнил скрипт в AVZ:

 

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;

QuarantineFile('C:\Users\Blackened\AppData\Roaming\Youtube Downloader HD\Reversed\steam.exe','');
QuarantineFile('C:\Users\Blackened\AppData\Roaming\Total War Rome 2\AdobeFlashPlayerUpdater.exe','');
QuarantineFile('C:\Users\Blackened\AppData\Roaming\Red Alert 3\AdCache\googleupd.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
DeleteFile('C:\Users\Blackened\AppData\Roaming\Red Alert 3\AdCache\googleupd.exe','32');
DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64');
DeleteFile('C:\Users\Blackened\AppData\Roaming\Total War Rome 2\AdobeFlashPlayerUpdater.exe','32');
DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayer-S-1-2-1298-9822','64');
DeleteFile('C:\Users\Blackened\AppData\Roaming\Youtube Downloader HD\Reversed\steam.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.

 

Компьютер перезагрузился.

 

 

Выполнил скрипт в AVZ:

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

 

quarantine.zip отправил по адресу newvirus@kaspersky.com

 

Получил ответ:

[KLAN-2982684047]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com"

  • Нет слов 2
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Тимофей 1988

Тимофей 1988

Опубликовано
  • Автор
Опубликовано

Выполнил описанный выше скрипт в AVZ.

Логи в чате. Спасибо.

 

Сообщение от модератора Mark D. Pearlstone
Не прикрепляйте quarantine.zip на форум. Файл удалён.

CollectionLog-2015.07.19-16.54.zip

Тимофей 1988

Тимофей 1988

Опубликовано
  • Автор
Опубликовано

Сайт больше не открывается, т.к. данный процесс отключен в автозагрузках, реестр открывается/работает.

Но тем не менее удалить данный процесс из автозагрузок не получается.

thyrex

thyrex

Опубликовано
Опубликовано

С помощью редактора реестра удалите ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...