[решено] Не удаляется ключ из реестра, автозагрузка.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Не удаляется ключ из реестра, автозагрузка.

Доброго всем времени суток.
Началось все банально. "Ну-у, принесли флешку, антивирус что-то запищал, что-то нажали, ой, все перестало работать."
Прихожу, вижу:

Ни на какие нажатия никаких кнопок компьютер не реагирует.
На заведомо чистом компьютере скачиваю Dr.Web CureIT, записываю на болванку, "больной" компьютер загружаю в безопасном режиме и запускаю CureIT прямо с болванки. Из того что он налечил, я понял что это какая-то разновидность Zlob.
Перезагружаюсь. Окно снова появляется, однако теперь, если нажать на "ОК" загрузка продолжается и комп работает как обычно.
В автозапуске прописалось это: rundll32.exe "C:\WINDOWS\system32\xodqtahl.dll",b
Пробовал удалять из реестра:
а) вручную
б) с помощью CCleaner 2.06
в) Autoruns 9.21
г) HijackThis v1.99.1
д) AVZ 4.30
Бесполезно.
Сканирование с помощью последней утилиты, ClamWin 0.93, Arovax AniSpyware 2.1.153, Spyware Terminator 2.2.2.438, ничего не дало (нашел только патченную C:\WINDOWS\system32\advapi32.$$$, но это, как я узнал у гугля, проделки КриптоПро)
Т.е. ключ этот обнаруживается, удаляется и тут же появляется снова.

Вот процессы, вроде ничего криминального не вижу. В службах тоже ничего подозрительного.

Конфигурация и софт сабжевого компьютера тут.

просканируйте систему AVPTool'ом (http://downloads1.kaspersky-labs.com...2008_23-35.exe)

Don Reba, Помогут
правила

DiMMMm, пробовал. Скачал сегодняшний. Крашится, и в нормальном и в безопасном режимах. Теперь еще и его не знаю, как удалить. :cry: Теперь при каждом старте еще и сообщение об ошибке Касперского.
Severny, виноват, исправлюсь.

этот образ нужно прожечь на CD (рекомендую ImgBurn)
http://dnl-eu10.kaspersky-labs.com/d...e_2008.001.iso

Don Reba, Отключите восстановление системы!
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирусы (по логам у вас их много Avast, ClamWin Antivirus) рекомендую оставить один антивирус) и другие защитные программы (Ad-Aware 2007, Spyware Terminator и пр.)

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\xodqtahl.dll','');

 DeleteFile('C:\WINDOWS\system32\xodqtahl.dll');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если останется)

Код:

O4 - HKLM\..\Run: [a0a083a0] rundll32.exe "C:\WINDOWS\system32\xodqtahl.dll",b

повторите логи virusinfo_syscheck.zip и hijackthis

Есть Small Cd-Writer. Надеюсь, сойдет? Что сделать с полученным диском? Загрузиться? Запустить в безопасном режиме?

Цитата:

Цитата Pili

Don Reba, Отключите восстановление системы! »

Сделано. Но папка System Volume Information все равно осталась, хоть и пуста. Это нормально?

Цитата:

Цитата Pili

На время выполнения скрипта выключите антивирусы (по логам у вас их много Avast, ClamWin Antivirus) рекомендую оставить один антивирус) и другие защитные программы (Ad-Aware 2007, Spyware Terminator и пр.) »

Аваст сопротивляется. Не могу остановить его процессы с помощью Process Explorer. И с помощью Task Killer тоже... :(

Цитата:

Цитата Don Reba

Но папка System Volume Information все равно осталась, хоть и пуста. Это нормально? »

нормально.

Цитата:

Цитата Don Reba

Аваст сопротивляется. Не могу остановить его процессы с помощью Process Explorer. »

и не надо через Process Explorer, Avast, насколько я помню (давно тестировал), должен выключаться прав. кн мыши на иконке в трее, там выбрать что-то типа "disable..." или "Stop..." и отключить модули, поищите, ещё забыл, Arovax Shield тоже временно отключите.
нашел Disabling avast

Pili, простите великодушно, но так как Вы сказали, полностью остановить его невозможно. По терминологии чехов (или переводчиков), модули называются провайдеры, и не смотря на то, что синий значок из трея исчезает, процессы все равно никуда не деваются, висят себе. Нашел тут на oszone, Proccess Lasso 2.94.3r, она тоже не может с ним справится. А это, насколько я понял, очень важно, верно?
DiMMMm, спасибо, я понял, это ЛайвСиди, на линуксе.

Цитата:

Цитата Don Reba

и не смотря на то, что синий значок из трея исчезает, процессы все равно никуда не деваются, висят себе. »

Останови его службы через Выполнить - services.msc или через програму на скрине. Тогда он не будет мешаться.
На скрине это 1528, 1576, 3164, 3216, 1712. Может что-то ещё, что не уместилось на скрин.
После, если остались процессы- прибей.

yurfed, спасибо за совет.
Pili, отправил в ЛС ссылку.
Логи присоединяю.

Ура-ура-ура!!! /me прыгает от радости :))
Спасибо огромадное, это просто колдунство какое-то! Исчезла эта раздражающая надпись и мир наступил в моих бедных ламерских мозгах. :)
Если можно, прежде чем закрыть топик, ответьте на несколько вопросов:
а) Восстановление системы обратно включить или и без него прожить можно?
б) Как правильно удалить бедолагу Касперского? Вот что я обнаружил в оснастке управления службами:

Просто удалить папку не могу, ругается, типа либо нет доступа, либо файл занят.
в) В чем была причина моей неудачи? Не дайте помереть неучем. Я ведь эту длл-ку искал. Через Тотал Командира, Alt+F7 и в безопасном, не видно её было!

Цитата:

Цитата Don Reba

а) Восстановление системы обратно включить или и без него прожить можно? »

Можно и включить, всё равно там пусто.

Цитата:

Цитата Don Reba

б) Как правильно удалить бедолагу Касперского? Вот что я обнаружил в оснастке управления службами: »

Поищи тут

Код:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

A0084403.dll - Trojan.Win32.Vapsup.gqj
Удалился отключением восстановления системы.

Цитата:

Цитата Don Reba

Я ведь эту длл-ку искал. Через Тотал Командира, Alt+F7 и в безопасном, не видно её было! »

xodqtahl.dll в карантин не попал, по логам его в системе уже нет, возможно от dll оставался только мусор в реестре, почистили.

Цитата:

Цитата Don Reba

Восстановление системы обратно включить или и без него прожить можно? »

Можно, прожить без восстановления тоже можно, на ваше усмотрение :)

Цитата:

Цитата Don Reba

Как правильно удалить бедолагу Касперского? »

is-QULDSdrv и все подобное - от AVPTool
Запускаете AVPTool, когда закроете окно, кн "х", запросит про удаление, подтверждаете.
По логам чисто.
Рекомендую отключить не используемые службы и настроить безопасность

Цитата:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК

Скрипт

Код:

begin

//TermService (Службы терминалов)

SetServiceStart('TermService', 4);

//терминальные подключения к ПК

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);

//возможность подключения анонимных пользователей

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

//административный доступ к локальным дискам

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);

//RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

SetServiceStart('RDSessMgr', 4);

//mnmsrvc (NetMeeting Remote Desktop Sharing)

SetServiceStart('mnmsrvc', 4);

//TlntSvr (Telnet)

SetServiceStart('TlntSvr', 4);

//SSDPSRV (Служба обнаружения SSDP)

SetServiceStart('SSDPSRV', 4);

end.

Можете удалить из скрипта то, что требуется (перед строчкой комент.)
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000000



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

"*.*"=""

Дополнительно можно скачать и запустить утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета.

Спасибо. Но...
этот компьютер в сети, маленькой но сети. И Гостя мне пришлось включить, потому что иначе, не было доступа к расшаренным папкам других компов сети. Плюс, эта чертова система Контур-Экстерн, сдача налоговых отчетов через Инет, дюже капризная, мало ли что ей нужно. Так что, благодарю, но от отключения служб пока воздержусь. По крайней мере, без возможности безболезненного отката.
А вот после отключения автозагрузки, исчезло "безопасное извлечение устройств". Это нормально? Если нет, в каком разделе форума уместно об этом поговорить?
И еще. Интересно ваше мнение о "Средстве удаления вредоносных программ" aka KB890830-v1.42? Бесполезное барахло или все таки что-то может? (дело в том что и ее применял, просто забыл упоминуть в первом посте)

Цитата:

Цитата Pili

Чистого вам интернета. »

Взаимно!!

Цитата:

Цитата Don Reba

А вот после отключения автозагрузки, исчезло "безопасное извлечение устройств" »

Пуск -> Выполнить -> regsvr32 hotplug.dll
Можно вернуть автозапуск твиком (не рекомендую)

Код:

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000001



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:00000000



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@=-



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

"*.*"=-

Лично я безопасным извлечением устройств никогда не пользуюсь, на флешке все равно все записывается :) Уж лучше отключить автозапуск.

Цитата:

Цитата Don Reba

в каком разделе форума уместно об этом поговорить? »

Microsoft Windows XP и поиск по форуму
[решено] Не появляеться значок "Безопасное извлечение устройства" при подключении USB Device

Цитата:

Цитата Don Reba

мнение о "Средстве удаления вредоносных программ" aka KB890830-v1.42? »

имхо, малоэффективное средство