neon_3x 0 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 Всем привет!О проблеме:при посещении одной из страниц сайта универа в Москве(!)(кажется мне что оттуда) появилось окно с предупреждением о троянской программе на этой странице.Она была успешно заблокирована,но при следующей загрузке системы Антивирус Касперского не запустился.Переустановка тоже ничего не дала,она даже не дошла до конца(только до места,где должен был быть вопрос об активации). Я сумел обнаружить вирус: C:\WINDOWS\system32\acelpdec.exe. Удалить его не представлялось возможным,поэтому жесткий диск был проверен на другой машине и был обнаружен троян Trojan.Win32.Inject.aapx. После его удаления Антивирус все равно не запускается(переустановка результатов не дала).Regedit не запускается.Также не запускаются без переименования avz и HijackThis.Уверен,в реестре есть записи,не дающие системе запуск этих программ.Но где? Скачал программу для работы с реестром,но по адресам HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ничего подозрительного не нашел. Логи прилагаются. Очень надеюсь на вашу помощь. P.S. предыдущая тема немного похожа, и все же решил создать новую.Заранее извиняюсь, если что. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 C:\Documents and Settings\NeoN\Desktop\hi\vjhv.exe - это знакомо? Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteService('HTTPFilterSCardSvr'); QuarantineFile('C:\WINDOWS\system32\acelpdecg.exe',''); DeleteFile('C:\WINDOWS\system32\digeste.dll'); DeleteFile('C:\WINDOWS\system32\digiwet.dll'); DeleteFile('C:\WINDOWS\system32\acelpdecg.exe'); BC_ImportDeletedList; BC_DeleteSvc('HTTPFilterSCardSvr'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Скачайте RootRepeal. Запустите программу. Перейдите на вкладку "Report" и нажмите Scan. Поставьте все галки, а затем на вновь появившемся окне выберите только диск С. После окончания исследования системы нажмите на кнопку Save Report и сохраните лог у себя на диске. Затем прикрепите лог к сообщению в Вашей теме. Ссылка на сообщение Поделиться на другие сайты
neon_3x 0 Опубликовано 29 мая, 2009 Автор Share Опубликовано 29 мая, 2009 "C:\Documents and Settings\NeoN\Desktop\hi\vjhv.exe - это знакомо?"-Это я так переименовал HiJackThis). Выполнил скрипт,система перезагрузилась.Выкладываю лог RootRepeal.и еще:после сканирования вывел окошко: the number of ssdt entries from the kernel and the number of disk are different.На 13 записей RootRepealReport.txt Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите. Повторите логи AVZ. Ссылка на сообщение Поделиться на другие сайты
neon_3x 0 Опубликовано 29 мая, 2009 Автор Share Опубликовано 29 мая, 2009 (изменено) Выкладываю новые логи AVZ. Скрипт выполняется,но zip-архив пустой(22 байта).Все равно отправлять? virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 29 мая, 2009 пользователем neon_3x Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 Выполните: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\Drivers\PCASp50.sys',''); QuarantineFile('C:\WINDOWS\system32\NSNDIS5.SYS',''); DeleteService('NSNDIS5'); QuarantineFile('c:\program files\dtemp\dtemp.exe',''); DeleteFile('C:\WINDOWS\system32\NSNDIS5.SYS'); DeleteFile('digeste.dll'); DeleteFile('digiwet.dll'); BC_ImportAll; BC_DeleteSvc('NSNDIS5'); ExecuteRepair(6); ExecuteRepair(9); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Затем: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите. Ссылка на сообщение Поделиться на другие сайты
neon_3x 0 Опубликовано 29 мая, 2009 Автор Share Опубликовано 29 мая, 2009 Премного вам благодарен!После выполнения предпоследнего скрипта и перезагрузки все заработало!Письмо отправлено на указанный вами адрес.Пароль указан. Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 Сделайте новые логи AVZ и HjT для контроля. Ссылка на сообщение Поделиться на другие сайты
neon_3x 0 Опубликовано 29 мая, 2009 Автор Share Опубликовано 29 мая, 2009 (изменено) Результат отправки: Здравствуйте, bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, dtemp.exe_ Вредоносный код в файлах не обнаружен. Пожалуйста, при ответе включайте переписку целиком. Ответ актуален для последних баз с источников обновлений. > Пароль на архив-virus > С уважением, Вирусный аналитик ЗАО "Лаборатория Касперского". Сообщение от модератора Falcon Убрал данные аналитика. Сделаны последние логи.Система полностью стабильна.Проблема решена.Большое вам спасибо!Но хотелось бы узнать,что же мешало запуску Антивирусной программы(если вам не трудно) virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 29 мая, 2009 пользователем Falcon Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 Мешала вот эта красота: digeste.dll digiwet.dll Не за что, обращайтесь Ссылка на сообщение Поделиться на другие сайты
neon_3x 0 Опубликовано 29 мая, 2009 Автор Share Опубликовано 29 мая, 2009 Ясненько...ну что ж,обязательно обращусь,если что.Еще раз спасибо.Все.Тему можно закрывать. Сообщение от модератора Falcon Закрыто по просьбе автора темы. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения