Winlock.130
#1
Отправлено 10 Июль 2009 - 13:07
На нЕкоем сайте (не знаю на каком, т.к. не я был за рулем) был подцепен вирус Winlock.130. Кстати, при включенном Вебе и Outpost Security Suite Pro. Винда при старте просила послать СМС на короткий номер. Попробовал зайти в безопрсном режиме под Админом. Увидел стандартный экран входа, но, после ввода пароля, входа в систему не произошло. Увидел надпись "Загрузка параметров" и тут же сменившую её "Сохранение параметров". Далее сценарий повторялся. Ввод пароля-Загрузка параметров-Сохранение параметров-Окно ввода пароля. После этого вход в Винду в обычном режиме начинался стандартно (т.е. без запросов СМС-ок), но входа не происходило (Ввод пароля-Загрузка параметров-Сохранение параметров-Окно ввода пароля).
Скачал DrWeb LiveCD. С него загрузился и просканил систему (но, кстати, не до конца. Когда начинает сканить один объект на рабочем столе, то система становится колом намертво) и нашел 2 виря Winlock.130. 1-й в хэлпах, второй в темпорари ИЕ. Оба удалил. Толку не прибавилось. Винда грузится. Ввод пароля. Загрузка и сразу же сохранение параметров. И о5 я на окне ввода пароля.
Что делать?
Переустановить могу легко, но не вариант.
P.S.
Винда - лицензия.
Веб - лицензия.
Фаервол - лицензия.
Никаких логов дать не могу, ессно, т.к. не могу войти в систему.
#3
Отправлено 10 Июль 2009 - 13:37
Можно посредством фдэшки и Midnight commander подсунуть заведомо исправный с другой машины. - А по-подробнее можно? No found data. =)))
#5
Отправлено 10 Июль 2009 - 13:44
Копируете с заведомо чистой машины \WINDOWS\System32\userinit.exe, грузитесь на проблемной машине с ЛивЦД и кладете этот файл туда же в \WINDOWS\System32\Раз Live CD грузится - \WINDOWS\System32\userinit.exe присутствует? - Чего не знаю - врать не буду. Юзверь. Ну, может образованный юзверь.
Можно посредством фдэшки и Midnight commander подсунуть заведомо исправный с другой машины. - А по-подробнее можно? No found data. =)))
Борис А. Чертенко aka Borka.
#6
Отправлено 10 Июль 2009 - 13:54
Но сейчас я ввергну Вас в шоковое состояние.
Я не смог в Midnight Commander'е переключится на другой диск. Т.е. я могу шерстить LiveCD, но не могу(не знаю) как переключитья на диск С, допустим, или любой другой. Он видит NTFS? Если да, то как производится переключение между дисками?
#7
Отправлено 10 Июль 2009 - 14:06
В линухе нет дисков. Виндовые диски можно найти в /winЯ не смог в Midnight Commander'е переключится на другой диск. Т.е. я могу шерстить LiveCD, но не могу(не знаю) как переключитья на диск С, допустим, или любой другой. Он видит NTFS? Если да, то как производится переключение между дисками?
Борис А. Чертенко aka Borka.
#8
Отправлено 10 Июль 2009 - 14:22
У меня винда, не Лунух. Т.е. зайдя в директорию /win на LiveCD я увижу все диски?
Борис, будьте человеком! Ответьте развернуто и полно. Я ж больше времени займу, если буду спрашивать в час по чайной ложке! ПЛИИИИИЗ! =))))
#9
Отправлено 10 Июль 2009 - 14:35
На LiveCD Linux, Вы грузитесь с него. Вы попробуйте сделать, что просят (зайти в /win и далее), потом, если не получится, будете сюда писать.У меня винда, не Лунух. Т.е. зайдя в директорию /win на LiveCD я увижу все диски?
#10
Отправлено 11 Июль 2009 - 10:42
С машины на которой сижу сейчас скопировал userinit.exe и перенёс на свою.
Эффект нулевой.
Что делать?
#12
Отправлено 11 Июль 2009 - 20:35
#13
Отправлено 11 Июль 2009 - 20:53
"Безопасный режим с поддержкой командной строки" пробовали?
#15
Отправлено 12 Июль 2009 - 12:32
Да. Ни один из вариантов альтернативной загузки не сработал. "Загрузка параметров" и тут же "Сохранение параметров".- A-LeX -
"Безопасный режим с поддержкой командной строки" пробовали?
#16
Отправлено 12 Июль 2009 - 13:15
Да тем же MC скопировать на флэшку \WINDOWS\System32\config\SOFTWARE, на рабочей машине подгрузить его редактором реестра как дополнительный куст и смотреть.
Скопировал всю папку config т.к. папки SOFTWARE не нашел (или это тройка файлов software.sav, software.LOG и software?).
Запустил regedit. Вкладки "Загрузить куст" и "Выгрузить куст" неактивные. Как это делается?
#17
Отправлено 12 Июль 2009 - 15:36
Создайте левый ключ в реестре, например, HKCU\1 и импортируйте ветку туда.Запустил regedit. Вкладки "Загрузить куст" и "Выгрузить куст" неактивные. Как это делается?
Борис А. Чертенко aka Borka.
#18
Отправлено 12 Июль 2009 - 16:29
При ТОЧНО таком-же случае -все стояло, все обновлялось у человека, НО... подцепил...
Сделал все гораздо проще и быстрее - загрузился с LiveCD, на котором есть ERD commander
и откатил систему назад - на состояние ДО заражения... 5 минут работы! (если есть точки сохранения, конечно)
Кстати, можно сделать откат и в ручную, без ERD commander - скопировав ветки реестра...уже писали!
НО в этом случае "не вернутся" измененные файлы
А уже потом находить и удалять ОСТАТКИ зверька.
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
#19
Отправлено 12 Июль 2009 - 17:24
Значение Userinit вместо "C:\WINDOWS\system32\userinit.exe," имеет вид "C:\Windows\Help\hlp.exe". Попытки изменить значение на нужное не дают результата ("Ошибка при изменении параметра" "Не удается изменить Userinit. Ошибка при записи нового значения параметра".)
С Shell'ом все в порядке. Значение "Explorer.exe"
Теперь вопрос ребром. Как поменять значение и перенести на свою машину?
#20
Отправлено 12 Июль 2009 - 18:01
Вот тут http://support.microsoft.com/kb/307545/ru все расписано - просто взять предыдущую РАБОЧУЮ ветку,Итак, все понятно.
Теперь вопрос ребром. Как поменять значение и перенести на свою машину?
если работало восстановление системы на больной машине...
Все это делать можно, используя LiveCD Dr.Web, а не консоль восстановления - проще.
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых