Перейти к содержимому


Фото
- - - - -

Trojan.winlock.3278


  • Закрыто Тема закрыта
118 ответов в этой теме

#41 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Апрель 2011 - 18:53

Помогло, спасибо.


В с:\WINDOWS\System32\dllcache удалите userinit.exe и taskmgr.exe там копии трояна...


А после проверьте машину свежим куреитом

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#42 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 26 Апрель 2011 - 21:09

userr
А можно использовать альтернативный сканер, не CureIt?

нет.

Не обижайтесь, но он так долго сканирует, 12 часов сканировал мои 25 Гб

Проверка CureIt, требуемая Правилами http://forum.drweb.com/index.php?showtopic=277652 , занимает 15-20 мин

#43 tomaston

tomaston

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 27 Апрель 2011 - 10:43

товарищи, у меня та же беда. изменены файлы userinit и taskmgr, + в Applcation Data сидит 22CC6C32 .
как с этим разобраться я уже поняла. проблема в том, что это мамин компьютер и я не в курсе какой тут сервис пак. Она тоже не знает.
сижу из-под линуксового Dr.Web liveCD - можно как-то тут это посмотреть?
выход в интернет есть только с больного компа, так что боюсь сделать что-то не то.
заранее благодарю за ответ

#44 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 27 Апрель 2011 - 10:47

выход в интернет есть только с больного компа, так что боюсь сделать что-то не то.

а сейчас сюда Вы откуда написали?

#45 tomaston

tomaston

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 27 Апрель 2011 - 10:48

windows XP

#46 tomaston

tomaston

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 27 Апрель 2011 - 10:50

userr, с больного компа

#47 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 27 Апрель 2011 - 10:55

userr, с больного компа

то есть загрузившись с Dr.Web liveCD ? а как Вы собираетесь править реестр ?

#48 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 27 Апрель 2011 - 10:57

загрузите на rghost.ru файлик c:\WINDOWS\System32\config\software

в реестре прописывается сервиспак

---------

а как Вы собираетесь править реестр ?


1)
можно обмануть систему...например если в ключе shell="c:\WINDOWS\System32\22CC6C32.exe" мы скопируем в

с:\WINDOWS\System32\ копию проводника Explorer.exe и переименуем его в 22CC6C32.exe

После нормально загрузимся в винде и доправим реестр

2)можно реестр исправить на другой машине и подложить его на инфицированную

Сообщение было изменено mrbelyash: 27 Апрель 2011 - 11:05

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#49 tomaston

tomaston

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 27 Апрель 2011 - 11:03

userr, с больного компа

то есть загрузившись с Dr.Web liveCD ? а как Вы собираетесь править реестр ?

да, тут есть браузер
я собираюсь удалить поврежденные файлы и вирус и заменить вышеуказанные файлы на рабочие, а потом уже, когда загрузится виндовс, править реестр. Это неправильно? У меня тут еще стоит нетбук на столе, сообщение через флешку.

#50 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 27 Апрель 2011 - 11:10

tomaston
Сообщение #52

#51 tomaston

tomaston

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 27 Апрель 2011 - 11:22

загрузите на rghost.ru файлик c:\WINDOWS\System32\config\software

...

1)
можно обмануть систему...например если в ключе shell="c:\WINDOWS\System32\22CC6C32.exe" мы скопируем в

с:\WINDOWS\System32\ копию проводника Explorer.exe и переименуем его в 22CC6C32.exe

После нормально загрузимся в винде и доправим реестр

2)можно реестр исправить на другой машине и подложить его на инфицированную


http://rghost.net/5354705
положила. На счет остального - феерично. второй способ нравится. Только понять бы как тут копировать на флешку, в этом миднайте...
сервис пак третий - выяснили.

апдейт: нет, первый способ проще! А где лежит проводник эксплорер и как его скопировать в миднайте, подсkажите, плз

userr, я вас не поняла, простите

Сообщение было изменено tomaston: 27 Апрель 2011 - 11:27


#52 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 27 Апрель 2011 - 11:35

загрузите на rghost.ru файлик c:\WINDOWS\System32\config\software

...

1)
можно обмануть систему...например если в ключе shell="c:\WINDOWS\System32\22CC6C32.exe" мы скопируем в

с:\WINDOWS\System32\ копию проводника Explorer.exe и переименуем его в 22CC6C32.exe

После нормально загрузимся в винде и доправим реестр

2)можно реестр исправить на другой машине и подложить его на инфицированную


http://rghost.net/5354705
положила. На счет остального - феерично. второй способ нравится. Только понять бы как тут копировать на флешку, в этом миднайте...
сервис пак третий - выяснили.

апдейт: нет, первый способ проще! А где лежит проводник эксплорер и как его скопировать в миднайте, подсkажите, плз

userr, я вас не поняла, простите


вы в миднайте флешку нашли?


F5 пробывали?

---------

собственно я сейчас на rghost буду ложить файлы,а вы их по папкам просто раскидывайте

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#53 tomaston

tomaston

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 27 Апрель 2011 - 11:39

нашла еще 03014D3F exe только он датирован 2008 годом! я снова в замешательстве удалять мне userinit & taskmgr или нет?

#54 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 27 Апрель 2011 - 11:41

нашла еще 03014D3F exe только он датирован 2008 годом! я снова в замешательстве удалять мне userinit & taskmgr или нет?

Удалить


C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
C:\WINDOWS\System32\userinit.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\03014D3F.exe
с:\WINDOWS\System32\dllcache\userinit.exe
с:\WINDOWS\System32\dllcache\taskmgr.exe

-----------


Этот файл положить в папку

C:\Documents and Settings\All Users\Application Data

http://rghost.ru/5355078

------------

Эти два файла положить в

С:\WINDOWS\system32

http://rghost.ru/5355089

http://rghost.ru/5355096

После нормально загрузиться и отписаться

Сообщение было изменено mrbelyash: 27 Апрель 2011 - 11:45

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#55 tomaston

tomaston

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 27 Апрель 2011 - 11:49

вы в миднайте флешку нашли?


F5 пробывали?

---------

собственно я сейчас на rghost буду ложить файлы,а вы их по папкам просто раскидывайте


Нашла. Kак копировать - разобралась. Ловлю)

#56 tomaston

tomaston

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 27 Апрель 2011 - 12:22

После нормально загрузиться и отписаться


http://forum.drweb.com/public/style_emoticons/default/biggrin.png все получилось! Спасибо!!
как вы знаете, нет рабочего стола)
Что делать дальше?

#57 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 27 Апрель 2011 - 12:25

После нормально загрузиться и отписаться

http://forum.drweb.com/public/style_emoticons/default/biggrin.png все получилось! Спасибо!!
как вы знаете, нет рабочего стола)
Что делать дальше?

Диспетчер задач запускается? Если да - редактор реестра запустить можете?
С уважением,
Борис А. Чертенко aka Borka.

#58 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 27 Апрель 2011 - 12:25

После нормально загрузиться и отписаться


http://forum.drweb.com/public/style_emoticons/default/biggrin.png все получилось! Спасибо!!
как вы знаете, нет рабочего стола)
Что делать дальше?


ЗАПУСТИТЬ c:\WINDOWS\regedit.exe и исправить ключ реестра,должен быть так


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

Отправленное изображение

Сообщение было изменено mrbelyash: 27 Апрель 2011 - 12:29

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#59 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 27 Апрель 2011 - 12:32

tomaston
... потом логи по Правилам http://forum.drweb.com/index.php?showtopic=277652
потом http://forum.drweb.com/index.php?showtopic=293874
если, конечно, не хотите быть здесь частым гостем http://forum.drweb.com/public/style_emoticons/default/wink.png

#60 tomaston

tomaston

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 27 Апрель 2011 - 13:00

Все получилось, спасибо большое-пребольшое!

userr, ну, а что, компания вроде отличная)
логи сейчас буду делать.
Куреит уже скачанный свежий лежит.

Вопрос, слегка оффтоп:
файлы userinit, taskmgr были изменены тогда же, когда был создан файл 22CC6C32 - 23.04 в 20.43. В этот момент матушка на работе, а комп отключен. А первый раз винлок проявился часа через 4, когда был включен комп и запущены обновления для браузера. Вопрос - возможно ли такое или в момент создания винлока комп обязательно должен был быть включен?)


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых