Редактирование реестра запрещено администратором, блокировка антивирусов

Angry Bird · 26.04.2012, 01:53

Здравствуйте, дорогие участники форума! Очень прошу вашей помощи по лечению троянов, послившихся на моем компьютере.
Так получилось, что на период заражения, на компе не оказалось установленного антивируса. В итоге:
-Вирус отключил службу обеспечения безопасности Windows, контроль учетных записей, защиту доступа к сети, брандмауэр и не дает никакой возможности их включить
-Редактирование реестра запрещено администратором
-Не дает запустить антивирус. На компе был установочный файл пробной версии nod-32, при попытке установки установочная программа мгновенно сворачивается
-При попытке скачать какой-либо антивирус (nod 32, Касперский) с сайта разработчиков в интернете, окно браузера (Google Chrome, Opera, IE) само закрывается и открывается только при условии быстрого перехода на другой любой сайт не связанный с антивирусами.
Вот свежие логи с AZV:
AZV
Очень надеюсь на вашу помощь! Заранее спасибо!

Angel-iz-Ada · 26.04.2012, 02:19

Сделайте лог uVS и залейте его на rghost.ru

Angry Bird · 26.04.2012, 14:40

Готово:
http://rghost.ru/37776345

Angel-iz-Ada · 26.04.2012, 14:46

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код:

;;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn 988C1FEA242A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F4F1ADC02B7277E5516073B09895FB55049713BDB4BBEA69CB0A77B7F2D3A17F56473 8 Virus4567
addsgn 988C1F6AE2284C9AE623514EDB5C120525013B1ECC08E0870CA62D37A45F4F1ADC0243F77C5516073B0989BF7D5049713BDB4B5E6E9CB0A77B7F2D3AF73D6473 8 Virus345678
zoo %SystemDrive%\NXKVGAGTCSTS.BAT
bl 4009E0339EF601552DF342314FC1F7B2 602112
zoo %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\TEMP\YBHLP.EXE
bl 0492A8934ED6F56FB479A01D6C7BECBD 737280
chklst
delvir
delall %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\TEMP\JBWPIKYTKIRYPHCVOQEZ.EXE .
delall %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\TEMP\VJAPECMDQKPSFTKZ.EXE .
delall D:\AUTORUN.INF
delall H:\AUTORUN.INF
delall %SystemDrive%\AUTORUN.INF
deltmp
delnfr
regt 1
regt 2
regt 3
regt 12
regt 14
regt 13
regt 18
regt 17
regt 21
regt 22
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес sendvirus2011@gmail.com. если отослать архив не получается по различным причинам, то закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

Angry Bird · 26.04.2012, 15:54

Простите, но на rghost.ru залить не получилось.
uVS:
http://files.rx24.ru/doponhlv3w1j.html
http://files.rx24.ru/jb7hwwsqe9dr.html

Кажется, лечение помогает

огромное вам спасибо

Angel-iz-Ada · 26.04.2012, 16:56

охренеть. где вы этот галимый обменник нашли?

---------- Добавлено в 14:56 ---------- Предыдущее сообщение было написано в 14:55 ----------

Так. В Мбам удалите все найденное, перезагрузитесь и повторите лог. Заливаем лог сюда - zalil.ru

Angry Bird · 26.04.2012, 22:23

Ахах

Простите! Пришлось использовать первое, что попалось под руку.

Залил

http://zalil.ru/33141773

Angel-iz-Ada · 26.04.2012, 22:25

Все чисто.
Если проблема решена, то:
При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

26.04.2012, 01:53	#1 (ссылка)
Angry Bird Новичок Регистрация: 26.04.2012 Сообщений: 4 Репутация: 0	Редактирование реестра запрещено администратором, блокировка антивирусов Здравствуйте, дорогие участники форума! Очень прошу вашей помощи по лечению троянов, послившихся на моем компьютере. Так получилось, что на период заражения, на компе не оказалось установленного антивируса. В итоге: -Вирус отключил службу обеспечения безопасности Windows, контроль учетных записей, защиту доступа к сети, брандмауэр и не дает никакой возможности их включить -Редактирование реестра запрещено администратором -Не дает запустить антивирус. На компе был установочный файл пробной версии nod-32, при попытке установки установочная программа мгновенно сворачивается -При попытке скачать какой-либо антивирус (nod 32, Касперский) с сайта разработчиков в интернете, окно браузера (Google Chrome, Opera, IE) само закрывается и открывается только при условии быстрого перехода на другой любой сайт не связанный с антивирусами. Вот свежие логи с AZV: AZV Очень надеюсь на вашу помощь! Заранее спасибо!

26.04.2012, 14:46	#4 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Выполните следующий скрипт в uVS: - запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива); - копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст); Код: ;;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn 988C1FEA242A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F4F1ADC02B7277E5516073B09895FB55049713BDB4BBEA69CB0A77B7F2D3A17F56473 8 Virus4567 addsgn 988C1F6AE2284C9AE623514EDB5C120525013B1ECC08E0870CA62D37A45F4F1ADC0243F77C5516073B0989BF7D5049713BDB4B5E6E9CB0A77B7F2D3AF73D6473 8 Virus345678 zoo %SystemDrive%\NXKVGAGTCSTS.BAT bl 4009E0339EF601552DF342314FC1F7B2 602112 zoo %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\TEMP\YBHLP.EXE bl 0492A8934ED6F56FB479A01D6C7BECBD 737280 chklst delvir delall %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\TEMP\JBWPIKYTKIRYPHCVOQEZ.EXE . delall %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\TEMP\VJAPECMDQKPSFTKZ.EXE . delall D:\AUTORUN.INF delall H:\AUTORUN.INF delall %SystemDrive%\AUTORUN.INF deltmp delnfr regt 1 regt 2 regt 3 regt 12 regt 14 regt 13 regt 18 regt 17 regt 21 regt 22 czoo restart - затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена; - скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши; - обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить; - ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее; - по окончанию выполнения скрипта компьютер перезагрузится; - в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес sendvirus2011@gmail.com. если отослать архив не получается по различным причинам, то закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме. - после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

26.04.2012, 22:25	#8 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Все чисто. Если проблема решена, то: При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ: Код: begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Что значит -"воспроизведение данного диска запрещено в вашем регионе"?	Vladimir50	Мультимедиа	7	12.02.2012 21:47
Обзор известных антивирусов для Windows\удаление антивирусов	~Данил~	Безопасность	1	29.09.2011 10:18
Вирусы, не открывается диспетчер задач, редактор реестра, сайты антивирусов	sifs	Безопасность	22	13.06.2010 21:06
Редактирование реестра	Гарад	Windows 7	4	26.04.2010 15:28
Regedit запрещено админом и диспетчер не фурычит	demoff	Безопасность	10	19.03.2010 09:36

26.04.2012, 02:19	#2 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Сделайте лог uVS и залейте его на rghost.ru

26.04.2012, 14:40	#3 (ссылка)
Angry Bird Новичок Регистрация: 26.04.2012 Сообщений: 4 Репутация: 0	Готово: http://rghost.ru/37776345

26.04.2012, 15:54	#5 (ссылка)
Angry Bird Новичок Регистрация: 26.04.2012 Сообщений: 4 Репутация: 0	Простите, но на rghost.ru залить не получилось. uVS: http://files.rx24.ru/doponhlv3w1j.html http://files.rx24.ru/jb7hwwsqe9dr.html Кажется, лечение помогает огромное вам спасибо

26.04.2012, 16:56	#6 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	охренеть. где вы этот галимый обменник нашли? ---------- Добавлено в 14:56 ---------- Предыдущее сообщение было написано в 14:55 ---------- Так. В Мбам удалите все найденное, перезагрузитесь и повторите лог. Заливаем лог сюда - zalil.ru

26.04.2012, 22:23	#7 (ссылка)
Angry Bird Новичок Регистрация: 26.04.2012 Сообщений: 4 Репутация: 0	Ахах Простите! Пришлось использовать первое, что попалось под руку. Залил http://zalil.ru/33141773

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads