Перейти к содержимому


Фото
- - - - -

Trojan.winlock.3278


  • Закрыто Тема закрыта
118 ответов в этой теме

#21 headliner

headliner

    О-ло-ло!

  • Virus hunters
  • 547 Сообщений:

Отправлено 26 Апрель 2011 - 13:05

Андрей Аракчеев

Доктор Веб промолчал к сожалению=(

Обновитесь, и сканером-сканером его...

#22 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 13:13

Должен нормально загрузиться...В W7 видать не удалось грохнуть userinit.exe

На XP и юзеринит и таск менеджер грохнулись без проблем.

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#23 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 13:14

Баннера нет...НО после слов добро пожаловать появляется черный экран И ВСЁ! Запускается диспетчер задач хотя Запущено 5 процессов:
csrss.exe
taskeng.exe
taskhost.exe
taskmgr.exe
winlogon.exe
Пока писал пропал процесс taskeng.exe

#24 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 13:16

Баннера нет...НО после слов добро пожаловать появляется черный экран И ВСЁ! Запускается диспетчер задач хотя Запущено 5 процессов:
csrss.exe
taskeng.exe
taskhost.exe
taskmgr.exe
winlogon.exe
Пока писал пропал процесс taskeng.exe

Все верно.

Теперь в диспетчере задач-новая задача

regedit.exe

ок

и исправляем ключ shell

Должно быть


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 13:17

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#25 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 13:23

я когда изменял написал просто Explorer.exe Правильно?
А тут еще изменено значение Userinit на C:\ProgramData\22CC632.exe что с ним делать?

Сообщение было изменено Nemiroff: 26 Апрель 2011 - 13:23


#26 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 13:30

я когда изменял написал просто Explorer.exe Правильно?
А тут еще изменено значение Userinit на C:\ProgramData\22CC632.exe что с ним делать?

В этом ключе (Shell)должно остаться только Explorer.exe все остальное стереть.

Файл C:\ProgramData\22CC632.exe удалить.

Ключ userinit="userinit.exe" все остальное стереть

Отправленное изображение

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 13:33

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#27 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 13:31

В Userinit тоже значение Explorer.exe ставить, да?

#28 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 13:34

В Userinit тоже значение Explorer.exe ставить, да?



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="userinit.exe"

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#29 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 13:36

Всё загрузился успешно всё работет!!!!=))))))) СПАСИБО ВАМ ОГРОМНОЕ!!!!!!!!!!!!!!!!!!

#30 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 26 Апрель 2011 - 13:53

Nemiroff
сделайте логи по Правилам

#31 Chaosman

Chaosman

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 26 Апрель 2011 - 16:38

У меня аналогичная проблема, с той лишь разницей, что после изменений реестра ничего не меняется.

Я загружался с помощью ERD, менял параметры Shell и userinit на правильные, чистил автозагрузку, удалял сами файлы, но после перезагрузки баннер никуда не исчезает. Загружаюсь заново через ERD, захожу в реестр, там параметр shell нормальный, а userinit опять неправильный и файл, к которому идет путь userinit снова на месте.

Подскажите, может есть места, где он еще прописывается.

#32 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 16:40

У меня аналогичная проблема, с той лишь разницей, что после изменений реестра ничего не меняется.

Я загружался с помощью ERD, менял параметры Shell и userinit на правильные, чистил автозагрузку, удалял сами файлы, но после перезагрузки баннер никуда не исчезает. Загружаюсь заново через ERD, захожу в реестр, там параметр shell нормальный, а userinit опять неправильный и файл, к которому идет путь userinit снова на месте.

Подскажите, может есть места, где он еще прописывается.

Пришлите мне файлы с зараженной системы

С:\WINDOWS\System32\userinit.exe


С:\WINDOWS\System32\taskmgr.exe

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 16:40

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#33 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 17:06

userr
А можно использовать альтернативный сканер, не CureIt? Не обижайтесь, но он так долго сканирует, 12 часов сканировал мои 25 Гб, при том, что у меня довольно мощный ноутбук. А все остальные логи я думаю сделаю.

#34 Chaosman

Chaosman

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 26 Апрель 2011 - 17:43

Не видит флешку, какие-нибудь альтернативные варианты есть, как перекинуть файлы. Интернет тоже не работает, да и вообще все работает как то слишком медленно.

#35 Nemiroff

Nemiroff

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Апрель 2011 - 17:54

Не видит флешку, какие-нибудь альтернативные варианты есть, как перекинуть файлы. Интернет тоже не работает, да и вообще все работает как то слишком медленно.


Сделай как я. Загрузись через Dr.Web LiveCD там и менеджер файлов понятней, и быстро работает всё, и со съемными носителями проще

#36 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 18:10

вставить флешку до загрузки

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#37 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 18:16

оба трояны

----------

нужно их заменить на нормальные...что у вас за ось?сервиспак какой?

ЗюЫю


Кстати вебом детектятся Trojan.Winlock.3300

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 18:22

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#38 Chaosman

Chaosman

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 26 Апрель 2011 - 18:21

XP SP3

Где можно взять нормальные?

Сообщение было изменено Chaosman: 26 Апрель 2011 - 18:24


#39 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 18:25

XP SP3

удалить

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

C:\WINDOWS\System32\userinit.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\03014D3F.exe



------

Распаковать и положить в C:\WINDOWS\System32 эти файлы

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 18:27

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#40 Chaosman

Chaosman

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 26 Апрель 2011 - 18:49

Помогло, спасибо.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых