Есть идеи у кого-нибудь? Самое смешное - ЛИНУКС с LiveCD не хочет запускаться... Как бы поймать этих бойцов... Вот уж я б их в зал притащил в качестве груши... Пацаны б позабавились...
Cms K706113800 на 4460
#1
Отправлено 02 Январь 2010 - 18:50
Есть идеи у кого-нибудь? Самое смешное - ЛИНУКС с LiveCD не хочет запускаться... Как бы поймать этих бойцов... Вот уж я б их в зал притащил в качестве груши... Пацаны б позабавились...
#2
Отправлено 02 Январь 2010 - 18:59
лог курилки можно сделать из под ERDCommander
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2
#3
Отправлено 02 Январь 2010 - 19:01
ЛИНУКС с LiveCD пофигу вирусы в винде....Вы в биосе настраивали загрузку с сд?
лог курилки можно сделать из под ERDCommander
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2
Братцы, я не понимаю этого жаргона...
#4
Отправлено 02 Январь 2010 - 19:23
ЛИНУКС с LiveCD пофигу вирусы в винде....Вы в биосе настраивали загрузку с сд?
лог курилки можно сделать из под ERDCommander
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2
Братцы, я не понимаю этого жаргона...
А хоть Линуксу и пофиг, но он грузится до какого-то момента, а потом персает работать и DrWeb не запускается. Вот в чем фишка...
#5
Отправлено 02 Январь 2010 - 19:39
VTotal
Сэр Уинстон Черчилль
#6
Отправлено 02 Январь 2010 - 19:43
где логи по правилам?
#7
Отправлено 02 Январь 2010 - 20:08
#8
Отправлено 02 Январь 2010 - 20:11
Немного не понял....ВОт дождался обнуления счетчика. И ничего не произошло. Ничего не запускается почти... Накачал ERDC (кстати, на Майкрософте прикидываются, что не знаю Microsoft Diagnostics and Recovery Toolkit, хотя по слухам они так назвали этот самый ERD Commander)... Перегрузил, и все - по-новой... Считает, тварь... Все заблокировано...
Экспортируйте реестр из под ерд.
#9
Отправлено 02 Январь 2010 - 20:59
Удалось сделать лог только cureit-омDartline
где логи по правилам?
Вот они эти дллки, похожих около 500шт
C:\DOCUME~1\Chrome\LOCALS~1\Temp\akfkei.dll - OK
C:\DOCUME~1\Chrome\LOCALS~1\Temp\akhclc.dll - OK
C:\DOCUME~1\Chrome\LOCALS~1\Temp\akjacp.dll - OK
хиджак создать лог не может, блокируется блокнот и комп уходит в перезагрузку.
Прикрепленные файлы:
Сэр Уинстон Черчилль
#10
Отправлено 02 Январь 2010 - 22:30
Немного не понял....ВОт дождался обнуления счетчика. И ничего не произошло. Ничего не запускается почти... Накачал ERDC (кстати, на Майкрософте прикидываются, что не знаю Microsoft Diagnostics and Recovery Toolkit, хотя по слухам они так назвали этот самый ERD Commander)... Перегрузил, и все - по-новой... Считает, тварь... Все заблокировано...
Экспортируйте реестр из под ерд.
Загрузился, но как-то странно. Ничего похожего на ссылки (http://wiki.drweb.com/index.php/Userinit и ...2) не появилось, совершенно другая картинка. Пробую CureItом показал 29 объектов (еще пока не закончил): Trojan.Packed.19247 и trojan.Botnetlog.126 в разных DLLках и Load(1).exe...
Мда...
#11
Отправлено 02 Январь 2010 - 22:57
Немного не понял....ВОт дождался обнуления счетчика. И ничего не произошло. Ничего не запускается почти... Накачал ERDC (кстати, на Майкрософте прикидываются, что не знаю Microsoft Diagnostics and Recovery Toolkit, хотя по слухам они так назвали этот самый ERD Commander)... Перегрузил, и все - по-новой... Считает, тварь... Все заблокировано...
Экспортируйте реестр из под ерд.
Загрузился, но как-то странно. Ничего похожего на ссылки (http://wiki.drweb.com/index.php/Userinit и ...2) не появилось, совершенно другая картинка. Пробую CureItом показал 29 объектов (еще пока не закончил): Trojan.Packed.19247 и trojan.Botnetlog.126 в разных DLLках и Load(1).exe...
Мда...
Вот в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell REG_SZ cmd.exe /k start cmd.exe
ОНО???
#12
Отправлено 02 Январь 2010 - 23:02
Dartline
где логи по правилам?
Вот нашел в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e
Насколько я понимаю, это оно и есть?
Пока лог экспортированный не могу отправить: он на флэшке, с которой я запустил Dr.WEeb Scanner... уже 01:15 работает, нашел 29 троянов (см в комментах)...
#13
Отправлено 02 Январь 2010 - 23:14
Не думаю. Это похоже на шелл при загрузке в "Безопасный режим с поддержкой командной строки".Вот нашел в реестре:Dartline
где логи по правилам?
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e
Насколько я понимаю, это оно и есть?
Борис А. Чертенко aka Borka.
#14
Отправлено 02 Январь 2010 - 23:21
Не думаю. Это похоже на шелл при загрузке в "Безопасный режим с поддержкой командной строки".Вот нашел в реестре:Dartline
где логи по правилам?
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e
Насколько я понимаю, это оно и есть?
Т.е., нструкции по ссылке http://wiki.drweb.com/index.php/Userinit (в самом низу) - неправильные?
#15
Отправлено 03 Январь 2010 - 00:00
Инструкции-то правильные... Сделайте экспорт ветки Winlogon.Т.е., нструкции по ссылке http://wiki.drweb.com/index.php/Userinit (в самом низу) - неправильные?Не думаю. Это похоже на шелл при загрузке в "Безопасный режим с поддержкой командной строки".Вот нашел в реестре:Dartline
где логи по правилам?
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e
Насколько я понимаю, это оно и есть?
Борис А. Чертенко aka Borka.
#16
Отправлено 03 Январь 2010 - 00:19
Инструкции-то правильные... Сделайте экспорт ветки Winlogon.Т.е., нструкции по ссылке http://wiki.drweb.com/index.php/Userinit (в самом низу) - неправильные?Не думаю. Это похоже на шелл при загрузке в "Безопасный режим с поддержкой командной строки".Вот нашел в реестре:Dartline
где логи по правилам?
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e
Насколько я понимаю, это оно и есть?
Вот 2 файла... В общем ... читал-читал этот самый DrWeb, дочитал, сказал, что 46 файлов заражено, а лечить отказался. Вывалился с синим окном счастья напоследок... Вот найти бы этих уродов, да поблагодарить.... Лет на семь...
Прикрепленные файлы:
#17
Отправлено 03 Январь 2010 - 00:23
Что за файлы заражены? И чем? На какой стадии упал в синьку? Есть ли дамп падения?Вот 2 файла... В общем ... читал-читал этот самый DrWeb, дочитал, сказал, что 46 файлов заражено, а лечить отказался. Вывалился с синим окном счастья напоследок... Вот найти бы этих уродов, да поблагодарить.... Лет на семь...Инструкции-то правильные... Сделайте экспорт ветки Winlogon.Т.е., нструкции по ссылке http://wiki.drweb.com/index.php/Userinit (в самом низу) - неправильные?Не думаю. Это похоже на шелл при загрузке в "Безопасный режим с поддержкой командной строки".Вот нашел в реестре:Dartline
где логи по правилам?
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e
Насколько я понимаю, это оно и есть?
Борис А. Чертенко aka Borka.
#18
Отправлено 03 Январь 2010 - 00:27
Судя по "X:\windows\system32\userinit.exe," - это, как я понимаю, экспорт родной ветки ЕРД. Нужен экспорт ветки винды на харде.Вот 2 файла...
Борис А. Чертенко aka Borka.
#19
Отправлено 03 Январь 2010 - 01:08
Похоже оно!! Осталось найти и достать!!!cmd.exe /k start cmd.exe
ОНО???
#20
Отправлено 03 Январь 2010 - 01:55
Что достать? Откуда достать? cmd /? в помощь.Voyager63
Похоже оно!! Осталось найти и достать!!!cmd.exe /k start cmd.exe
ОНО???
Борис А. Чертенко aka Borka.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых