Сегодня утром поймал новый вид винлока.Проблема такова при загрузке виндоуса раздается писк и вылазит сообщение о том что,мол отправьте смс на номер 5121 с кодом 6625015
Но главная проблема в том , что ни пуска не ярлыков...ничего кроме этого меню нету.
Пробовал проверку через LiveCD ничего не дало, запуск ERD Commander-ом проверяю реестр в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ "Userinit"="С:\WINDOWS\system32\userinit.exe," все впорядки, но зато в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ "Shell"="cmd.exe/k start cmd.exe" пробовал менять на ключ "Shell"="Explorer.exe" , однако вирус не пропадает и при следующей проверке ключа там ключ вируса
Но,заметил одну странную вещь...В:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"вместо диска "С" стоит Диск "Х" ключ "Userinit"="Х:\WINDOWS\system32\userinit.exe,"
И еще очень много где в реестре вместо диска "С" прописался "Х" , которого нет в компьютере,пробывал изменить на "С" , но видимо где-то еще сидит зараза и ставит "Х"
Подскажите где еще может быть это зараза....напоминаю сразу....к компьютеру доступа никакого ни диспечера ничего,так что логи не выложить
Пробовал сгенерировать код разблокировки,не помогло
Online Antivirus
Автор
Golberg
, фев 16 2010 21:14
57 ответов в этой теме
#2
account has been deleted
-
- Posters
- 2 837 Сообщений:
Massive Poster
#3
Golberg
-
- Posters
- 69 Сообщений:
Newbie
Отправлено 16 Февраль 2010 - 21:36
говорю же нет доступа к логам
#4
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 16 Февраль 2010 - 21:38
Так Вы в ERD Commander подгрузили куст HKEY_LOCAL_MACHINE с больной машины или нет?Но,заметил одну странную вещь...В:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"вместо диска "С" стоит Диск "Х" ключ "Userinit"="Х:\WINDOWS\system32\userinit.exe,"
И еще очень много где в реестре вместо диска "С" прописался "Х" , которого нет в компьютере,пробывал изменить на "С" , но видимо где-то еще сидит зараза и ставит "Х"
#5
Golberg
-
- Posters
- 69 Сообщений:
Newbie
Отправлено 16 Февраль 2010 - 21:46
Подгрузил,но интернет не запускается и никак их не перекинуть
#6
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 16 Февраль 2010 - 21:54
Golberg
что-то не верится, что с неправильным путём к userinit система вообще загрузится
что-то не верится, что с неправильным путём к userinit система вообще загрузится
#7
Golberg
-
- Posters
- 69 Сообщений:
Newbie
Отправлено 16 Февраль 2010 - 22:10
тогда может то что стоит диск Х это глюк erd commandera?
#8
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 16 Февраль 2010 - 22:25
Golberg
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2
почитайте.
из под erd commander сотрите все в "c:\Documents and Settings\<Username>\Local Settings\Temp" c:\WINDOWS\Temp
c:\WINDOWS\system32 c:\WINDOWS\ ищите *.exe файлы со свежей датой, посмотрите на них внимательно, свойства и т.п.
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2
почитайте.
из под erd commander сотрите все в "c:\Documents and Settings\<Username>\Local Settings\Temp" c:\WINDOWS\Temp
c:\WINDOWS\system32 c:\WINDOWS\ ищите *.exe файлы со свежей датой, посмотрите на них внимательно, свойства и т.п.
#9
Golberg
-
- Posters
- 69 Сообщений:
Newbie
Отправлено 16 Февраль 2010 - 22:39
подобрал к нему код разблокировки...появился рабочий стол,однако регедит диспетчер задач остаются недоступны
#12
Golberg
-
- Posters
- 69 Сообщений:
Newbie
Отправлено 16 Февраль 2010 - 23:00
Вот лог, а plstfix.exe не запускается...сейчас попробую запустить наночу cureIT
Прикрепленные файлы:
-
hijackthis.log 5,94К
48 Скачано раз
#13
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 17 Февраль 2010 - 09:07
C:\Windows\system32\user32.exe -в вирлаб
C:\Windows\system32\conime.exe-туда же
C:\Windows\system32\sdra64.exe-туда же
F2 - REG:system.ini: Shell=explorer.exe,user32.ex-фиксить в HJ
C:\Windows\system32\conime.exe-туда же
C:\Windows\system32\sdra64.exe-туда же
F2 - REG:system.ini: Shell=explorer.exe,user32.ex-фиксить в HJ
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#14
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 17 Февраль 2010 - 09:41
Вирусы на форуме выкладывать запрещено. Сообщение скрыл
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#16
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 17 Февраль 2010 - 09:45
а куда тогда их?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#17
Golberg
-
- Posters
- 69 Сообщений:
Newbie
Отправлено 17 Февраль 2010 - 09:51
вирус отправил...логи еще раз выложить тут или ненадо?
И через сколько придет ответ на те файлы?
И через сколько придет ответ на те файлы?
#19
Golberg
-
- Posters
- 69 Сообщений:
Newbie
Отправлено 17 Февраль 2010 - 10:44
из под erd commander сотрите все в "c:\Documents and Settings\<Username>\Local Settings\Temp" c:\WINDOWS\Temp
c:\WINDOWS\system32 c:\WINDOWS\ ищите *.exe файлы со свежей датой, посмотрите на них внимательно, свойства и т.п.
Temp чистил,в c:\WINDOWS\system32 и c:\WINDOWS\ *.exe файлы со свежей датой нету
#20
Golberg
-
- Posters
- 69 Сообщений:
Newbie
Отправлено 17 Февраль 2010 - 10:52
Вроде бы удалось запустить plstfix.exe ... заработал диспетчер задач....Но как мне теперь узнать вылечил ли я свой комп,или зараза все еще там сидит и снова объявится?Поможет ли очередная проверка?
