Не открывается реестр

[GrafB]

нажимаю пуск-выполнить, пишу regedit, по симптомам похоже, что перезапускается explorer (пропадает панель задач, закрываются все окна проводников, потом панель задач вновь появляется). при очередном входе в выполнить строчка regedit там не отображается, не сохраняется среди последних набранных там команд. заходил в c:\windows, находил regedit, удалял, а он на глазах появлялся вновь.

выкладываю логи согласно правилам раздела:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

C:\WINDOWS\system32\blphc932j0e39p.scr проверьте на virustotal Ссылку на результат проверки сообщите

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('rssync.dll','');
QuarantineFile('msansspc.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
DeleteService('msupdate');
DeleteService('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('msansspc.dll');
DeleteFile('rssync.dll');
ExecuteRepair(13);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 O20 - Winlogon Notify: rssync - rssync.dll (file missing)

Сделайте новые логи

Изменено 7 мая, 2009 пользователем thyrex

[GrafB]

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

не совсем понял, он сам сделает этот пароль а мне просто его вам напомнить или мне его сделать и напомнить?

пока просто отправил и тему написал virus

 

возможно был не последователен, но в хайджеке строка изменилась:

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

 

вот новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

возможно был не последователен, но в хайджеке строка изменилась:

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

Эта строка была и в прежних логах. Не представляет опасности

 

Пароль AVZ устанавливает сам. Вам нужно только указать его в письме

Изменено 7 мая, 2009 пользователем thyrex

[GrafB]

так, а уже всё? мне теперь пишет:

regedit не является приложением win32

 

тут мне подсказали утилиту gmer, я правда не разобрался в ней, но пока не переименовал, я и пользоваться не мог.

в окне загрузки мазилы после окончания закачки при двойном клике на этом архиве происходило то же что и при попытке запуска regedit, только ещё и мазилла перезапускалась

Изменено 7 мая, 2009 пользователем GrafB

[Falcon]

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.

Повторите логи.

 

C:\WINDOWS\system32\blphc932j0e39p.scr проверили?

[akoK]

Скачайте Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys

C:\WINDOWS\SYSTEM32\drivers\VIDEO.bkp

C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp

C:\WINDOWS\SYSTEM32\VIDEO.sys

C:\WINDOWS\SYSTEM32\VIDEO.bkp

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('VIDEO', 4);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\igdkmd32.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\srvkp.sys','');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteService('VIDEO');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Включите AVZPM и повторите логи.

[GrafB]

всё, я скачал с другой машины regedit.exe и всё нормально, спасибо большое.

 

akoKFalcon и FalconakoK

 

данных файлов на компьютере не обнаружил

[thyrex]

И этого C:\WINDOWS\system32\blphc932j0e39p.scr тоже?

[tmsnik]

Аналогичная проблема.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

tmsnik, сделайте логи полиморфным AVZ из моей подписи. У Вас скорее всего Trojan-PSW.Win32.Kates.c

Изменено 18 мая, 2009 пользователем thyrex

[tmsnik]

Логи, сделанные полиморфным AVZ.

Примечание. Параллельно с выполнением первого стандартного скрипта вылезло окошко автоматической защиты антивируса с найденными Trojan.Horse по этому пути C:\WINDOWS\system32\Drivers\ute4odkx.sys и с требованием перезагрузки компа. Перезагрузил, дождавшись выполнения скрипта. Такая же ситуация повтороилась и при выполнении второго скрипта. После перезагрузки реестр стал открываться. Больше сообщений автоматической защиты не поступало. Означает ли это, что проблема решена?

virusinfo_syscure.zip

virusinfo_syscheck.zip

[thyrex]

Symantec ругался на драйвер AVZ.

На время выполнения AVZ своей работы, антивирус нужно отключать.

 

У Вас именно Kates.c

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\xvw.ppe');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','aux2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Что с проблемой после перезагрузки?

[tmsnik]

Большое спасибо за уточнение. Впредь учту.

 

Скрипт выполнил. Реестр открывается. По всей видимости проблема решена.

Еще раз спасибо за помощь.

Изменено 18 мая, 2009 пользователем tmsnik

[thyrex]

Всегда рад помочь

Проверьте, там в той же папке C:\Windows может быть его двойник с одной лишней буквой. Если найдется, удалить вручную

И меняйте все пароли...