Перейти к содержанию
Правила раздела

Не открывается реестр

GrafB

Автор GrafB
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

GrafB

GrafB

Опубликовано
Опубликовано

нажимаю пуск-выполнить, пишу regedit, по симптомам похоже, что перезапускается explorer (пропадает панель задач, закрываются все окна проводников, потом панель задач вновь появляется). при очередном входе в выполнить строчка regedit там не отображается, не сохраняется среди последних набранных там команд. заходил в c:\windows, находил regedit, удалял, а он на глазах появлялся вновь.

выкладываю логи согласно правилам раздела:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

thyrex

thyrex

Опубликовано
Опубликовано (изменено)

C:\WINDOWS\system32\blphc932j0e39p.scr проверьте на virustotal Ссылку на результат проверки сообщите

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('rssync.dll','');
QuarantineFile('msansspc.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
DeleteService('msupdate');
DeleteService('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('msansspc.dll');
DeleteFile('rssync.dll');
ExecuteRepair(13);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 O20 - Winlogon Notify: rssync - rssync.dll (file missing)

Сделайте новые логи

Изменено пользователем thyrex
GrafB

GrafB

Опубликовано
  • Автор
Опубликовано
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

не совсем понял, он сам сделает этот пароль а мне просто его вам напомнить или мне его сделать и напомнить?

пока просто отправил и тему написал virus

 

возможно был не последователен, но в хайджеке строка изменилась:

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

 

вот новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

thyrex

thyrex

Опубликовано
Опубликовано (изменено)
возможно был не последователен, но в хайджеке строка изменилась:

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

Эта строка была и в прежних логах. Не представляет опасности

 

Пароль AVZ устанавливает сам. Вам нужно только указать его в письме

Изменено пользователем thyrex
GrafB

GrafB

Опубликовано
  • Автор
Опубликовано (изменено)

так, а уже всё? мне теперь пишет:

regedit не является приложением win32

 

тут мне подсказали утилиту gmer, я правда не разобрался в ней, но пока не переименовал, я и пользоваться не мог.

в окне загрузки мазилы после окончания закачки при двойном клике на этом архиве происходило то же что и при попытке запуска regedit, только ещё и мазилла перезапускалась

Изменено пользователем GrafB
Falcon

Falcon

Опубликовано
Опубликовано

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.

Повторите логи.

 

C:\WINDOWS\system32\blphc932j0e39p.scr проверили?

akoK

akoK

Опубликовано
Опубликовано

Скачайте Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys

C:\WINDOWS\SYSTEM32\drivers\VIDEO.bkp

C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp

C:\WINDOWS\SYSTEM32\VIDEO.sys

C:\WINDOWS\SYSTEM32\VIDEO.bkp

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('VIDEO', 4);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\igdkmd32.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\srvkp.sys','');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteService('VIDEO');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Включите AVZPM и повторите логи.

GrafB

GrafB

Опубликовано
  • Автор
Опубликовано

всё, я скачал с другой машины regedit.exe и всё нормально, спасибо большое.

 

akoKFalcon и FalconakoK

 

данных файлов на компьютере не обнаружил

thyrex

thyrex

Опубликовано
Опубликовано

И этого C:\WINDOWS\system32\blphc932j0e39p.scr тоже?

  • 2 недели спустя...
thyrex

thyrex

Опубликовано
Опубликовано (изменено)

tmsnik, сделайте логи полиморфным AVZ из моей подписи. У Вас скорее всего Trojan-PSW.Win32.Kates.c

Изменено пользователем thyrex
tmsnik

tmsnik

Опубликовано
Опубликовано

Логи, сделанные полиморфным AVZ.

Примечание. Параллельно с выполнением первого стандартного скрипта вылезло окошко автоматической защиты антивируса с найденными Trojan.Horse по этому пути C:\WINDOWS\system32\Drivers\ute4odkx.sys и с требованием перезагрузки компа. Перезагрузил, дождавшись выполнения скрипта. Такая же ситуация повтороилась и при выполнении второго скрипта. После перезагрузки реестр стал открываться. Больше сообщений автоматической защиты не поступало. Означает ли это, что проблема решена?

virusinfo_syscure.zip

virusinfo_syscheck.zip

thyrex

thyrex

Опубликовано
Опубликовано

Symantec ругался на драйвер AVZ.

На время выполнения AVZ своей работы, антивирус нужно отключать.

 

У Вас именно Kates.c

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\xvw.ppe');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','aux2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Что с проблемой после перезагрузки?

tmsnik

tmsnik

Опубликовано
Опубликовано (изменено)

Большое спасибо за уточнение. Впредь учту.

 

Скрипт выполнил. Реестр открывается. По всей видимости проблема решена.

Еще раз спасибо за помощь.

Изменено пользователем tmsnik
thyrex

thyrex

Опубликовано
Опубликовано

Всегда рад помочь ;)

Проверьте, там в той же папке C:\Windows может быть его двойник с одной лишней буквой. Если найдется, удалить вручную

И меняйте все пароли...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • reliance
      [РЕШЕНО] Не открывается Диспетчер устройств и Редактор реестра
      Автор reliance
      Диспетчер устройств никакую ошибку не выдает, просто не открывается. При открытии Редактора реестра (regedit) появляется ошибка 0xc0000017CollectionLog-2025.06.22-16.40.zip
    • hitsuyodesu
      После перезагрузки ноутбука перестали открываться программы по типу диспетчера задач, реестра.
      Автор hitsuyodesu
      Пишет c/windows/system32/regedit указанный путь не существует, так же с диспетчером задач, какие-то папки нельзя редактировать которые не системные, просто не могу открыть приложения для которых нужны права администратора, получается только в безопасном режиме.
      Пыталась снести винду в безопасном режиме, но media creation tool выдает ошибку 0x80072742
      Roquekiller жалуется на майнер puzzlemedia, но он был и раньше и все работало нормально, систему не грузило
      Просто после перезапуска ноутбука такая проблема появилась
       

      CollectionLog-2024.07.08-13.41.zip
    • ping_pig
      Реестр установленного ПО в Linux
      Автор ping_pig
      Добрый день!
       
      Могли бы подсказать по такому вопросу, касательно настройки KES на Linux.
      Используется KSC 14.2.0.26967 и KES 12.1.0.506
      На Linux пробовал на - AstraLinux и Ubuntu
       
      Есть ли возможность настройки для просмотра через Реестр программ в свойствах Устройства, списка установленного ПО на компьютере с Linux?
      С Windows список установленного ПО в KSC подтягивается нормально.
      А вот с Linux в Реестре программ пусто.
      Есть ли вообще такая возможность или для Linux это не реализовано?
    • Evgenii632
      Реестр после запуска мгновенно закрывается
      Автор Evgenii632
      Добрый день.
      По своей глупости скачал и установил файл с расширением .msi ноутбук сразу перезагрузился и после несколько программ не запустились с автозагрузки и перестал открываться реестр.
      Скачал и проверил Malwarebytes Antimalware, он нашел и удалил 6 вирусов, но результатов это не дало, после проверил Dr.Web CureIt и он ничего не нашел. Также нет возможности создать или запустить точку восстановления, но возможно это и не с этим связано, ноут только недавно купил и возможно точек не было, сейчас пишет что контролируется администратором.
      Проверку сделал, файл прикрепил
      CollectionLog-2024.06.16-11.11.zip
    • StarlightKnight
      При запуске Редактор реестра моментально закрывается.
      Автор StarlightKnight
      У меня windows 10  когда я хочу открыть  Редактор реестра он открывается и моментально закрывается.
      Я недавно переустановил windows.
      Сделал все доступные способы из интернета от проверки на вирусы и до проверки другими программами.
      Подскажите, что это может быть и есть ли смысл снова переустановить windows?
×
×
  • Создать...