Последствия WinLock
#1
Отправлено 04 Январь 2010 - 15:53
что делал:
1. Загрузка winpe (типа LiveCD+soft) c CD.
2. Альтернативным редактором реестра открываю свой реестр и правлю т.е. удаляю HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows значение параметра AppInit_DLLs (было C:\WINDOWS\system32\dllcache\c_20880.nls:bNT7FA+yLaix5XG)
3. Качаю Virus Removal Tool от Касперского (благо загрузочный CD с WinPE сеть нормально настроил). Ставлю в корень больного С:\
4. Гружу больную ОС без шнурка (вирь не активен)
5. Старт Virus Removal Tool
результат -
4.01.2010 0:46:59 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\dllcache\c_20880.nls:bNT7FA+yLaix5XG
04.01.2010 0:46:59 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\fgpbsdtye.dll
04.01.2010 0:46:59 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\g.dll
04.01.2010 0:46:59 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\tn.dll
04.01.2010 0:47:00 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\uqthgkvn.dll
04.01.2010 0:47:00 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\xqz.dll
04.01.2010 0:47:00 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\zzjbojtzx.dll
Был еше ЕХЕ в кеше браузера.
6. Имею рабочий комп, но блокирован запуск реестра и диспечера, блокирующих ключей в реестре не нашел, разблокировал Групповой политикой безопасности.
7. НО!!! блокирован запуск моего антивиря (Symantec End Point...11) все тойже политикой безопасности, как победить я незнаю ПОМОГИТЕ!
процессы антивиря стартуют, но GUI вызвать нельзя ((. Где копать? и чем?
#3
Отправлено 04 Январь 2010 - 18:13
Прикрепленные файлы:
#4
Отправлено 04 Январь 2010 - 18:27
Сделал по Правилам, логи прилагаю.
Пофиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
#5
Отправлено 04 Январь 2010 - 18:35
#6
Отправлено 04 Январь 2010 - 21:13
чем?Пофиксить:
#7
Отправлено 04 Январь 2010 - 21:19
Посмотрите наличие файла вот таким образом http://wiki.drweb.com/index.php/Скрытые_процессыC:\WINDOWS\system32\sdra64.exe файла нет на винте.
HJчем?Пофиксить:
Если не получится-ручками
#8
Отправлено 04 Январь 2010 - 22:15
нету.
CureIT при -sp/copy: файла не скопировал.
Но, по прежнему запуск Symantec Endpoint Protection (SymCorpUI.exe) по прежнему заблокирован политикой безопасности. ((
#9
Отправлено 04 Январь 2010 - 22:19
Распаковать-запустить.Fix выполнил HJ при повторном скане HJ строки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
нету.
CureIT при -sp/copy: файла не скопировал.
Но, по прежнему запуск Symantec Endpoint Protection (SymCorpUI.exe) по прежнему заблокирован политикой безопасности. ((
Должно появиться 3 файла c:\drwebX.txt приложить здесь
#10
Отправлено 04 Январь 2010 - 22:37
Сделано.Распаковать-запустить.
Должно появиться 3 файла c:\drwebX.txt приложить здесь
Прикрепленные файлы:
#11
Отправлено 04 Январь 2010 - 22:40
Удалить из реестраСделано.Распаковать-запустить.
Должно появиться 3 файла c:\drwebX.txt приложить здесь
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{1B21CA49-D049-4CE7-85B3-0F257164181D}] "ItemData"="C:\\Program Files\\Common Files\\Symantec Shared" "SaferFlags"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{45BA151B-9D4E-44A5-ADE0-2116DBF684D1}] "ItemData"="C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files" "SaferFlags"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{A6D823DF-F0F0-4110-B427-CD275C59B227}] "ItemData"="C:\\Program Files\\Symantec" "SaferFlags"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{F5B37C20-506C-470C-9D54-F2029A8D4156}] "ItemData"="C:\\Documents and Settings\\All Users\\Application Data\\Symantec" "SaferFlags"=dword:00000000
#12
Отправлено 04 Январь 2010 - 22:58
Низкий поклон и уважение команде раздела "Помощь по лечению" за их прямые руки и терпение к нашим кривым рукам. ))
#13
Отправлено 04 Январь 2010 - 23:40
P.S-А то советы что дают тут, давно не новы и раздаются на virusinfo,а меня как пользователя полноценного лицензионного Dr.Web интересует способ решения(LiveCD,СureIT итд)непосредственно от сотрудников ЭТОЙ КОМПАНИИ!
#14
Отправлено 04 Январь 2010 - 23:52
Не раньше, чем конкретная зараза попадет в Вирлаб, где от нее сделают противоядие.меня как конечного пользователя больше интересует КОГДА уважаемые гуру добавят возможность автоматического лечения этой бяки в LiveCD и CureIT,чтоб я тупо загрузился с LiveCD или другого винта и прогнав сканирование вычистил всю заразу с зараженного винта на корню!!!
Вам с Суппорт в таком случае: http://support.drweb.com/меня как пользователя полноценного лицензионного Dr.Web интересует способ решения(LiveCD,СureIT итд)непосредственно от сотрудников ЭТОЙ КОМПАНИИ!
Борис А. Чертенко aka Borka.
#15
Отправлено 05 Январь 2010 - 00:24
Не раньше, чем конкретная зараза попадет в Вирлаб, где от нее сделают противоядие.меня как конечного пользователя больше интересует КОГДА уважаемые гуру добавят возможность автоматического лечения этой бяки в LiveCD и CureIT,чтоб я тупо загрузился с LiveCD или другого винта и прогнав сканирование вычистил всю заразу с зараженного винта на корню!!!
Вам с Суппорт в таком случае: http://support.drweb.com/меня как пользователя полноценного лицензионного Dr.Web интересует способ решения(LiveCD,СureIT итд)непосредственно от сотрудников ЭТОЙ КОМПАНИИ!
Спасибо конечно за оперативный ответ!
Но №1-Это-то ясно,но просто я жду-жду и непонятно, сколько времени на это потребуется,просто лично я "подцепил" 30-31,а некоторые ощутимо раньше,у меня злосчастный DownloadMaster с телефоном 4460 который даже в SAFE ничего не позволяет(И никакие когды не подходят) а т.к комп "рабочий" я себе позволить "игры" с ним не могу, и я ОЧЕНЬ надеюсь что Dr.Web решит эту проблему до 11 января, т.к лично я услышав что Софт какой либо конторы лечит эту хрень и дает гарантию что она снова не проскочит,куплю именно его!
№2-А смысл? Я базы обновлял КАЖДЫЙ день,а он всеравно "пропустил",при том что я ничего подозрительного не качал!
Так-что супорта мне скажут тожесамое что и вы в 1ом пункте!
#16
Отправлено 05 Январь 2010 - 00:37
Хм... Как Вы себе представляете решение проблемы? Без файла, без логов... Кстати, подавляющее большинство хватают сусликов на совершенно рабочие компы. И успешно лечатся.Но №1-Это-то ясно,но просто я жду-жду и непонятно, сколько времени на это потребуется,просто лично я "подцепил" 30-31,а некоторые ощутимо раньше,у меня злосчастный DownloadMaster с телефоном 4460 который даже в SAFE ничего не позволяет(И никакие когды не подходят) а т.к комп "рабочий" я себе позволить "игры" с ним не могу, и я ОЧЕНЬ надеюсь что Dr.Web решит эту проблему до 11 января, т.кНе раньше, чем конкретная зараза попадет в Вирлаб, где от нее сделают противоядие.меня как конечного пользователя больше интересует КОГДА уважаемые гуру добавят возможность автоматического лечения этой бяки в LiveCD и CureIT,чтоб я тупо загрузился с LiveCD или другого винта и прогнав сканирование вычистил всю заразу с зараженного винта на корню!!!
Вам с Суппорт в таком случае: http://support.drweb.com/меня как пользователя полноценного лицензионного Dr.Web интересует способ решения(LiveCD,СureIT итд)непосредственно от сотрудников ЭТОЙ КОМПАНИИ!
Ну, уж гарантию точно никто не даст. Даже страховой полис нынче не дает.лично я услышав что Софт какой либо конторы лечит эту хрень и дает гарантию что она снова не проскочит,куплю именно его!
А это неважно - качал или не качал, оно само скачивается со взломанного сайта. Так что времена, когда можно было что-то подцепить только на сайтах сомнительного содержания, давно прошли...№2-А смысл? Я базы обновлял КАЖДЫЙ день,а он всеравно "пропустил",при том что я ничего подозрительного не качал!
Борис А. Чертенко aka Borka.
#17
Отправлено 05 Январь 2010 - 00:52
Хм... Как Вы себе представляете решение проблемы? Без файла, без логов... Кстати, подавляющее большинство хватают сусликов на совершенно рабочие компы. И успешно лечатся.Но №1-Это-то ясно,но просто я жду-жду и непонятно, сколько времени на это потребуется,просто лично я "подцепил" 30-31,а некоторые ощутимо раньше,у меня злосчастный DownloadMaster с телефоном 4460 который даже в SAFE ничего не позволяет(И никакие когды не подходят) а т.к комп "рабочий" я себе позволить "игры" с ним не могу, и я ОЧЕНЬ надеюсь что Dr.Web решит эту проблему до 11 января, т.кНе раньше, чем конкретная зараза попадет в Вирлаб, где от нее сделают противоядие.меня как конечного пользователя больше интересует КОГДА уважаемые гуру добавят возможность автоматического лечения этой бяки в LiveCD и CureIT,чтоб я тупо загрузился с LiveCD или другого винта и прогнав сканирование вычистил всю заразу с зараженного винта на корню!!!
Вам с Суппорт в таком случае: http://support.drweb.com/меня как пользователя полноценного лицензионного Dr.Web интересует способ решения(LiveCD,СureIT итд)непосредственно от сотрудников ЭТОЙ КОМПАНИИ!
Ну, уж гарантию точно никто не даст. Даже страховой полис нынче не дает.лично я услышав что Софт какой либо конторы лечит эту хрень и дает гарантию что она снова не проскочит,куплю именно его!
А это неважно - качал или не качал, оно само скачивается со взломанного сайта. Так что времена, когда можно было что-то подцепить только на сайтах сомнительного содержания, давно прошли...№2-А смысл? Я базы обновлял КАЖДЫЙ день,а он всеравно "пропустил",при том что я ничего подозрительного не качал!
Вы меня загнали в глубокую печаль!
P.S-В общем когда появится версия LiveCD способная "вычищать" эту заразу без танцов с бубном,надеюсь на форуме сообщат!
Завтра попробую еще раз пройтись последним LIVECD на ПОЛНУЮ,а заодно из под негоже попробую сделать для вас LOGи!
#18
Отправлено 05 Январь 2010 - 01:02
от этой фигни есть скрипт для AVZ, на компе висел порнобаннер.Сделал по Правилам, логи прилагаю.
Пофиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
если надо, то вот они
Прикрепленные файлы:
Сэр Уинстон Черчилль
#19
Отправлено 05 Январь 2010 - 01:19
Ну, извините.Вы меня загнали в глубокую печаль!
Понимаете, в чем проблема... Это ВЫ должны сказать, способен ли Доктор вычистить эту заразу. А то аналитики, редиски, отказываются делать лечение даже по скриншоту, а тут без сэмплов, без логов, без скринов... А хрустальные шарЫ все никак из ремонта не заберут.P.S-В общем когда появится версия LiveCD способная "вычищать" эту заразу без танцов с бубном,надеюсь на форуме сообщат!
Завтра попробую еще раз пройтись последним LIVECD на ПОЛНУЮ,а заодно из под негоже попробую сделать для вас LOGи!
Борис А. Чертенко aka Borka.
#20
Отправлено 05 Январь 2010 - 01:24
"Этой фигни" настолько дофига, что чужой скрипт не очень поможет. Точнее, очень не поможет. Скрипты прописываются хелерами, которые видят логи и точно знают, что и как делать.от этой фигни есть скрипт для AVZ, на компе висел порнобаннер.Пофиксить:Сделал по Правилам, логи прилагаю.
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
если надо, то вот они
Борис А. Чертенко aka Borka.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых