Вопрос № 129078: Уважаемые эксперты!
После удаления трояна в некоторых ветках реестра остались прописанными пути на файлы, которые были связаны с вирусом, хотя сами файлы уже уничтожены(xprot.sys, mp3res.dll из system32)
Эти ветки не удается удалить ни regedi...
Вопрос № 129.078
Уважаемые эксперты!
После удаления трояна в некоторых ветках реестра остались прописанными пути на файлы, которые были связаны с вирусом, хотя сами файлы уже уничтожены(xprot.sys, mp3res.dll из system32)
Эти ветки не удается удалить ни regedit ни программами очистки реестра. Они как бы удаляются, но при повторном открытии реестра
опять присутствуют. Хотя другие изменения в реестре выполняются
ОС-WindosXPSP2. Как можно решить проблему?
Отправлен: 25.03.2008, 22:56
Вопрос задала: Glakla (статус: Посетитель)
Всего ответов: 2 Мини-форум вопроса >>> (сообщений: 1)
Отвечает: Arshvin
Здравствуйте, Glakla! Значит не все компоненты или точнее файлы вируса удалены. Запустите не виндовозный диспетчер задач Windows (рекомендую Process Explorer - ссылку его можно найти в любом, наверно, поисковике. я пользуюсь версией 11.04) и проанализируйте запущенные процессы-должен быть хотя бы один который препядствует вам очистить эти записи реестра. Если не секрет что за троян то был?У меня недавно была подобная ситуация с авторановским
червем VB.EL (как его классифицирует NOD32), то есть в system32 лежало 3 файла (work.exe,mssql.exe,cftmons.exe, причем подозрательным мне показался процесс запущенный из последнего файла)и все они прописывались в реестре в разных ветках и в разных ключах. я так понял каждый из них мог восстанавливать "удаленные" записи в реестре на каждых из трех файлов и запускать его. Скорее всего что то похожее у вас, и тоян скорее был который не модифицирует программный к
од других исполнительных файлов или dll'ок.
Ответ отправил: Arshvin (статус: 1-ый класс)
Ответ отправлен: 26.03.2008, 07:43 Оценка за ответ: 5 Комментарий оценки: Спасибо за Process Explorer
Сообщаю по Вашей просьбе-Nod сообщил,что есть Wigon, как будто бы удалил, но видно плохо
Отвечает: stahh
Здравствуйте, Glakla!
У вас не просто вирус, у вас - руткит. Существует еще один драйвер, который восстанавливает реестр. И не только. Вот что нужно удалить в вашем случае:
Файлы
C:Documents and SettingsИмяПользователяSR.vbs
C:WINDOWSsystem32mp3res.dll
C:WINDOWSsystem32driversyohfcgnv.sys
C:C9.tmp
C:Documents and SettingsИмяПользователяwintqex.exe
C:WINDOWSsystem32userini.exe
C:Documents and SettingsИмяПользователяwinqihd.exe
C:WINDOWSultimatecd.ini
C:WINDOWSSFE0AD747.tmp
C:WINDOWSiun6002.exe
C:Program Filesjqagldxb.txt
C:Documents and SettingsAll Usershdip.exe
Папка
C:Program Filesfree-downloads.net
Собственно руткит
C:WINDOWSsystem32xprot.sys
C:WINDOWSsystem32driversgrande48.sys
Они же - драйвера
xprot
grande48
Думаю, увидеть все вы не сможете из самой систему. Для удаления необходим LiveCD Windows.
Создание LiveCD Windows - отдельная и обширная тема, и неоднократно подымалась в вопросах. Посмотрите по форумам.
Удачи.
Ответ отправил: stahh (статус: 5-ый класс)
Ответ отправлен: 26.03.2008, 10:11 Оценка за ответ: 4 Комментарий оценки: Спасибо за рекомендации, особенно за LiveCDWindows
