Обнаружен троян, блокирующий Windows XP PRO SP3
 

Здравствуйте, загружается только фон рабочего стола, ни чего не работает, диспетчер задач заблокирован администратором!
Дело в том что антивирус заблокировал троян (видимо не полностью), видимо поэтому ни каких информеров о блокеровке винды нет! и после перезапуска системы только фон рабочего стола!
У меня установлена Win 7 на другом диске, проверил раздел диска с win XP с помощью Dr.Web CureIt! и kaspersky virus removal tool - не помогло!
На DVD есть ERDcommander, но при запуске он видит все разделы жестких дисков пустыми, толи так должно быть, толи я чего то не понимаю!
Прошу помощи господа

Доброго дня.
Можете выполнитьрекомендации? полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме.

запускаю Autoruns, ввожу следущие значения в поле file / analyze offline system

но програма падает


далее просканировал раздел диска с Win XP с помощью AVZ
снизу лог-файл

могу, но скрипты как я понял выполняются для запущенной винда, а я сейчас на WIN 7

1.Попробуйте сочетания клавиш
wind +R , где (клавиша с логотипом Windows на клавиатуре, которой соответствует кнопка Start или Пуск в левом углу экрана) далее вписать explorer и нажать enter так должны будем запустить explorer где вы сможете уже работать и дать нам необходимые логи

2.ERD Commander
2.Загрузитесь с этого диска.
3.Кнопка Пуск -> Выполнить -> erdregedit
4.Посмотрите в реестре:
ветка:

значения параметров: UserInit и Shell

Правильное значение для Userinit

Значение ключа Shell должно быть таким

если значение отличается - исправить на правильное.

Ищем и УДАЛЯЕМ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe

все в порядке

данные строки отсутствуют

с этим получилось?

в безопасном режиме загружается система?

Вы добавили это позже, сейчас попробую

не работает, только фон рабочего стола и курсор мыши, ни одна кнопна на клаве и на мыши не работают!

ок давайте еще разна другом логическом диске или на другом HDD? так же можете попробовать wind +U
выбрать экранную клавиатуру выбрать клавиши Ctrl +Shift +Esc должен будет выйти дисп задач откуда уже сможете запустить программу, если не получается то
далее пробуйте зайти в безопасный режим
для этого при загрузке нажимаем клавишу F8 и выбираем безопасный режим (safe mode) и жмем enter далее
предварительно вам надо будет на флэшку скачать AVZ там же распаковать запустить и обновить базы вставляем флэшку в окмп запускаем в безопасном режиме и делаем нужные нам логи
как это делать запускаем avz выбираем файл далее стандартные скрипты далее скрипт номер1 жмем выполнить отмеченные операции
2. AVZ => Исследование системы необходимо переключить "Только активные службы и драйверы" на "Все службы и драйверы" => Пуск укажите где сохранить протокол. далее пуск
. Необходимо упаковать протокол в архив zip или rar и прикрепите к сообщению.

перед этим всем я сного запустил проверку диска с Win XP? вот что нашел и удалил:






на другом логическом
не получилось

* далее я запустил в безопасном режиме - черный экран, ни чего не работает
*далее запустил в беопасном режиме с поддержкой командной строки, в строку ввел exlorer.exe - открылся проводник
с помощью проводника запустил AVZ установленный на PC (с флешки не удалось) со свежими базами.
далее я выполнил скрипт №1, затем иследование системы! Архив прикрепил!

в беопасном режиме выполнил стандартные логи AVZ

а говорили ничего нет в Shell

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Сделайте повторные логи AVZ + RSIR

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

странно, мож я ослеп, может ERDcommander не фурычит
после первого скрипта в безопасном режиме запускался только черный экран с мигающей черточкой, в обычном режиме win XP загружался до бесконечности долго. Запустилось все только после выбора "загрузка с последней работоспособной версии"

отправил
сделал, и запаковал в один архив

как сейчас загрузка происходит?

maniy77, пока вроде хорошо, надо подождать денек!
Спасибо тебе большое за все

E:\PROGRAMS\FireFox\firefox.exe Мозилу сами сюда устанавливали?

Проверьте файлы на www.virustotal.com
что за папки?
C:\WINDOWS\D56B0E274A3E46C9B5C1D93D580C099C.TMP
C:\WINDOWS\8A809006C25A4A3A9DAB94659BCDB107.TMP


Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "

Запустить".

После выполнения скрипта компьютер перезагрузится!


Пофиксить в HijackThis следующие строчки:
InterSvyaz - ваш провайдер?

повторите лог RSIT +
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

жду

ответила, делайте логи-завтра продолжим=)
скрипт подправила, будьте внимательны

ответила? девушка
да
это дровишки на беспроводную клавиатуру , с ними все в порядке, проверил
этот файл невидимый
понятия не имею


оба скрипта выполнил, результаты отправил, HijackThis профиксил
да


сейчас Malwarebytes' Anti-Malware выполняется

Malwarebytes' Anti-Malware готово

Удалите в Malwarebytes' Anti-Malware

Как удалять с помощю MBAM указанные в теме элементы?
- Запустите MBAM
- выберите Perform Full Scan (Провести полную проверку)
- нажмите Scan (Проверить)
- после сканирования выберите Ок и далее Show Results (Показать результаты)
- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).

Malwarebytes после удаления зараженного файла деинсталлировать. Программа необходима только в период лечения.
Doctor Web Anti-Virus, Symantec Shared, ActiveArmor Firewall - не много для одного компьютера ))?
Doctor Web в рабочем состоянии, оставьте его, Symantec - деинсталлировать до конца страница разработчика с утилитами-деинсталяторами
Установить все возможные обновления продуктов Adobe, которые установлены на вашем компьютере или удалите их.
Обновите Java до последней актуальной версии. Устаревшие версии несут в себе уязвимости, которые могут стать причиной заражения.

настоятельно рекомендуется поменять все важные пароли!

Что из этого вам нужно? Рекомендую закрыть уязвимости, дам вам скрипт.
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Разрешен автозапуск со сменных носителей
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Как самочувствие?

УДАЛИЛ
Установил Dr.Web AV-Desk, что там входит в его состав я не знаю, дополнительно ни чего не ставил
ссылка не рабочая! Symantec обязательно удалять?
установил
как?
давайте, >> Разрешен автозапуск со сменных носителей - пусть будет

да вроде все отлично

1. http://us.norton.com/support/kb/web_...080521134618EN
вот ссылка, деинсталляция настоятельно рекомендуются, два антивируса на одной системе-возможны конфликты.

2. Для обновления Java Скачайте JavaRA здесь

Распакуйте, запустите, выберите "Remove Older Versions".

Подтвердите свое желание удалить старую версию Java нажав "ДА".

Закройте IE, если Вы его еще не закрыли и нажмите "OK".

После поиска и удаления Java машины программа создаст лог с отчетом.

Далее нажмите "Search For Updates"

Выберите "Update Using Sun Java's Website" и "Open Webpage"

Осталось только скачать и установить Java.
Или воспользоваться альтернативным вариантом - после удаления старой версии скачайте и установите последнюю версию с сайта производителя.
Java Runtime Environment (JRE)

Далее, рада, что у вас все хорошо :up

Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "

Запустить".

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

не работает ссылка, пробовал Firefox и Opera


C:\WINDOWS\system32\drivers\etc - отсутствует файл Hosts это нормально?

ни когда не использовал эту дрянь!

Firefox и Opera не выбираются


все остальные рекомендации выполнил

качните деинсталлятор из вложения, что-то глючат ссылки у меня сегодня)

Далее, откуда инфо о том что отсутствует файл Hosts?

в главном меню проводника Windows заходим в главное меню Сервис и там выбираем пункт «Свойства папки».
Переходим на вкладку «Вид» и снимаем флажок напротив следующих пунктов:
- Скрывать защищенные системные файлы
- Скрывать расширения для зарегистрированных типов файлов
Теперь нажимаем на переключатель напротив надписи «Показывать скрытые файлы и папки».
Нажимаем кнопку «Применить» и далее кнопку «ОК».
Проверяем наличие файла Hosts по адресу C:\WINDOWS\system32\drivers\etc
Если не можем созерцать сей файл, создаем его заново
Для этого в папке C:\WINDOWS\system32\drivers\etc щелкаем по пустому месту правой кнопкой мышки и вызываем контекстное меню.
Выбираем : Создать – Текстовый документ
Появится файл с названием Teкстовый документ.txt Удаляем полностью имя и расширение файла и вписываем просто hosts. За запрос о смене расширения, отвечаем «Да» и копируем туда код ниже стандартного Hosts

Стандартный файл HOSTS Windows выглядит следующим образом:

создал и сделал атрибут "только для чтения"
там 2 exe и ни один не запускается, короче не получается удалить

эх..
сюда зайти можете? http://virusnet.info/forum/showthread.php?t=58

там тема для корректной чистки

вот утилита Norton_Removal_Tool.exe во вложении
попробуйте ее для чистки

на этот раз запустилось, процесс выполнил!

теперь что делать, или все уже?

все) или у вас еще какие-нибудь проблемы?
Больше не болейте.
Чистого инета в новом году и с наступающим Рождеством Христовым! )

спасибо Вам огромное за помощь! С рождеством!!!!!!!!
в благодарность Вам цветочки