Перейти к содержимому


Фото
- - - - -

Trojan.winlock.3278


  • Закрыто Тема закрыта
118 ответов в этой теме

#1 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 11:19

Здравствуйте! Столкнулся с такой проблемой как Winlock да еще не знаю как его удалить, потому что в безопасном режиме он же и появляется=(

Скачал dr.web livecd установил на диск. Успешно загрузился с диска, начал сканирование... НО результатов сканирование не дало никакого вируса не было найдено. Сканировал оба жестких диска ( у меня их два). Я тут почитал в других темах что нужно некоторые файлы удалить, но у них другая операцмооная система. У меня Windows 7 SP1. Пожалуйста помогите удалить эту гадость, уже все нервы себе вытрепал. http://forum.drweb.com/public/style_emoticons/default/sad.png

P.S. я пишу с другого домашнего компьютера интернет подключить не могу к инфицированному компу т.к. необходимо создавать на компьютере соединение, а как такогого не предусмотрено буду выпонять ваши команды.

#2 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 26 Апрель 2011 - 11:29

Nemiroff
http://windows.microsoft.com/ru-RU/windows...uding-safe-mode
все режимы пробовали?
Безопасный режим с поддержкой командной строки ?
Загрузка последней удачной конфигурации ?

#3 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 11:37

Да пробовал всё то же самое. Всякие манипуляции с режимами загрузки делал. Безрезультатно. В моём распоряжении есть только загрузочный диск доктор веб

P.S. вид вотТАКОЙ у баннера, только у меня номер немного другой. Название баннера от туда же взял.

#4 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 26 Апрель 2011 - 11:44

Да пробовал всё то же самое. Всякие манипуляции с режимами загрузки делал. Безрезультатно.

еще раз - Безопасный режим с поддержкой командной строки - система грузится, но вылезает баннер. так?

В моём распоряжении есть только загрузочный диск доктор веб

http://forum.drweb.com/index.php?showtopic=301780 -- здесь описано что нужно сделать если у Вас drweb livecd
http://forum.drweb.com/index.php?showtopic=293348 -- здесь описано как скачать и что делать с win livecd

Сообщение было изменено userr: 26 Апрель 2011 - 11:44


#5 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 12:07

Здравствуйте! Столкнулся с такой проблемой как Winlock да еще не знаю как его удалить, потому что в безопасном режиме он же и появляется=(

Скачал dr.web livecd установил на диск. Успешно загрузился с диска, начал сканирование... НО результатов сканирование не дало никакого вируса не было найдено. Сканировал оба жестких диска ( у меня их два). Я тут почитал в других темах что нужно некоторые файлы удалить, но у них другая операцмооная система. У меня Windows 7 SP1. Пожалуйста помогите удалить эту гадость, уже все нервы себе вытрепал. http://forum.drweb.com/public/style_emoticons/default/sad.png

P.S. я пишу с другого домашнего компьютера интернет подключить не могу к инфицированному компу т.к. необходимо создавать на компьютере соединение, а как такогого не предусмотрено буду выпонять ваши команды.


Залейте на сайт rghost.ru такие файлы

С:\WINDOWS\System32\userinit.exe

С:\WINDOWS\System32\taskmgr.exe

А сюда киньте ссылку.

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#6 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 12:14

userr

Говорю же, все способы загрузки пробовал и кторые вы мне предложили тоже.


mrbelyash
Сейчас попробуй сделать как вы сказали. А вот каким образом перекинуть, когда я нахожусь по Лайф Сиди. Он сразу флешку увидит когда я её вставлю? Какой путь к флешке? И не опасно переносить на флешке эти файлы?

#7 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 12:16

userr

Говорю же, все способы загрузки пробовал и кторые вы мне предложили тоже.


mrbelyash
Сейчас попробуй сделать как вы сказали. А вот каким образом перекинуть, когда я нахожусь по Лайф Сиди. Он сразу флешку увидит когда я её вставлю? Какой путь к флешке? И не опасно переносить на флешке эти файлы?


как правило флешку нужно вставить до загрузки.


-------

безопасный режим и иже с ними не поможет по одной простой причине,что троян подменяет userinit.exe, а он используется во всех режимах.

короче нужны файлы для анализа

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 12:16

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#8 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 12:18

mrbelyash
А нет, к счастью флешку комп увидел и после загрузки Лайф Сиди. Пробую переносить

#9 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 26 Апрель 2011 - 12:33

Nemiroff
а пока вопросик: чтобы в Windows 7 вирус испортил userinit.exe, Вы должны были много всего в системе отключить. напр. UAC. так было дело?

#10 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 26 Апрель 2011 - 12:37

Nemiroff
скрыл письмо со ссылкой

#11 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 12:38

userr

Это которая спрашивает запустить исполняемый файл...или что-то в этом роде? Если про это спрашиваете, то да=((( я отключил эту службу почти сразу т.к. она ужасно надоедала. Если всё будет в порядке включу обратно=)

#12 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 26 Апрель 2011 - 12:39

Если про это спрашиваете, то да=((( я отключил эту службу почти сразу т.к. она ужасно надоедала.

поздравляю Вас.

#13 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 12:41

Эти в норме.

Посмотрите на диске файлы

C:\Windows\System32\03014D3F.exe
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#14 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 26 Апрель 2011 - 12:43

Nemiroff
... и вообще поищите ехе файлы с недавней датой и странными именами в C:\Windows\System32\ , с:\users

#15 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 12:50

C:\Windows\System32\03014D3F.exe --- таковой отсутствует! Зато есть другие файлы и с длинным названием я их сейчас перенесу сюда

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe ------ а вот этот имеется сейчас я его тоже перенесу сюда

#16 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 12:52

C:\Windows\System32\03014D3F.exe --- таковой отсутствует! Зато есть другие файлы и с длинным названием я их сейчас перенесу сюда

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe ------ а вот этот имеется сейчас я его тоже перенесу сюда


Ага...этот 22CC6C32.exe мне,а у себя на диске его грохнуть.

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#17 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 12:59

Грохнул еще хочу отправить с подозрительный файл...

#18 headliner

headliner

    О-ло-ло!

  • Virus hunters
  • 547 Сообщений:

Отправлено 26 Апрель 2011 - 13:01

Файл 22CC6C32.exe детектится как winlock.3300

#19 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 13:02

Андрей Аракчеев

Доктор Веб промолчал к сожалению=(

#20 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 13:03

После того как удалите 22CC6C32.exe попробуйте нормально загрузиться...а я пока посмотрю куда он пишется.

------

umstartup.etl -не трогайте

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 13:06

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых