Перейти к содержимому


Фото
- - - - -

Cms K706113800 на 4460


  • Please log in to reply
87 ответов в этой теме

#1 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 02 Январь 2010 - 18:50

Вот тоже поймал под Новый год 31 декабря. Сегодня решил попробовать вылечить, но пока безуспешно. Скачал и CureIt и еще чего-то, но... Сделал загрузочный диск DrWeb LiveCD, он грузится сначала, показывает меню, проверяет память, если попросишь, но после загрузки модулей вдруг говорит, что CD not Found... И перестает работать. Может, конечно можно чего-то сделать, если знаешь Линукс, но я не знаю... Интересная черта: как только пробуешь что-то запустить, счетчик времени возобновляется. С утра запускал по 10 копий этих самых окошек, один раз запустился SpySweeper, показал на 2 трояна (не запомнил названий), Т.к. экран практически весь занят этой штукой, подсматривал по углам, нажал не ту кнопку... SpySweeper по-новой стал сканировать, но больше результатов не дал. Теперь ваще не грузится... Ни одна программа не запускается, кроме Explorer, но и это не помогает. Еще интересная особенность: если щелкнуть в часы (пробовал менять дату и время) - баннер пропадает, но после попытки запустить хоть что-то снова выскакивает и начинает считать сначала.Решил подождать, пока до нуля не досчитает (2 часа 17 мин)... Говорит, что я нарушил лицензии по Download Master, а у меня этого и нет даже... Картинку могу выставить (сфотографировал).

Есть идеи у кого-нибудь? Самое смешное - ЛИНУКС с LiveCD не хочет запускаться... Как бы поймать этих бойцов... Вот уж я б их в зал притащил в качестве груши... Пацаны б позабавились...

Прикрепленные файлы:



#2 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 02 Январь 2010 - 18:59

ЛИНУКС с LiveCD пофигу вирусы в винде....Вы в биосе настраивали загрузку с сд?
лог курилки можно сделать из под ERDCommander
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#3 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 02 Январь 2010 - 19:01

ЛИНУКС с LiveCD пофигу вирусы в винде....Вы в биосе настраивали загрузку с сд?
лог курилки можно сделать из под ERDCommander
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2




Братцы, я не понимаю этого жаргона... :(

#4 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 02 Январь 2010 - 19:23

ЛИНУКС с LiveCD пофигу вирусы в винде....Вы в биосе настраивали загрузку с сд?
лог курилки можно сделать из под ERDCommander
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2




Братцы, я не понимаю этого жаргона... :(


А хоть Линуксу и пофиг, но он грузится до какого-то момента, а потом персает работать и DrWeb не запускается. Вот в чем фишка...

#5 Dartline

Dartline

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 02 Январь 2010 - 19:39

У меня тоже ребёнок скачал инсталяшку флэш- плеера. В ней и был наверно вирус. Все тоже самое что описано в старттопике. только код К705113300. ни лавсиди, ни куреит его не ловит. Отправил в вирлаб, может сегодня добавят в базу.
VTotal
Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль

#6 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 02 Январь 2010 - 19:43

Dartline
где логи по правилам?

#7 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 02 Январь 2010 - 20:08

ВОт дождался обнуления счетчика. И ничего не произошло. Ничего не запускается почти... Накачал ERDC (кстати, на Майкрософте прикидываются, что не знаю Microsoft Diagnostics and Recovery Toolkit, хотя по слухам они так назвали этот самый ERD Commander)... Перегрузил, и все - по-новой... Считает, тварь... Все заблокировано...

#8 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 02 Январь 2010 - 20:11

ВОт дождался обнуления счетчика. И ничего не произошло. Ничего не запускается почти... Накачал ERDC (кстати, на Майкрософте прикидываются, что не знаю Microsoft Diagnostics and Recovery Toolkit, хотя по слухам они так назвали этот самый ERD Commander)... Перегрузил, и все - по-новой... Считает, тварь... Все заблокировано...

Немного не понял....
Экспортируйте реестр из под ерд.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#9 Dartline

Dartline

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 02 Январь 2010 - 20:59

Dartline
где логи по правилам?

Удалось сделать лог только cureit-ом
Вот они эти дллки, похожих около 500шт
C:\DOCUME~1\Chrome\LOCALS~1\Temp\akfkei.dll - OK
C:\DOCUME~1\Chrome\LOCALS~1\Temp\akhclc.dll - OK
C:\DOCUME~1\Chrome\LOCALS~1\Temp\akjacp.dll - OK
хиджак создать лог не может, блокируется блокнот и комп уходит в перезагрузку.

Прикрепленные файлы:

  • Прикрепленный файл  CureIt.7z   80,41К   52 Скачано раз

Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль

#10 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 02 Январь 2010 - 22:30

ВОт дождался обнуления счетчика. И ничего не произошло. Ничего не запускается почти... Накачал ERDC (кстати, на Майкрософте прикидываются, что не знаю Microsoft Diagnostics and Recovery Toolkit, хотя по слухам они так назвали этот самый ERD Commander)... Перегрузил, и все - по-новой... Считает, тварь... Все заблокировано...

Немного не понял....
Экспортируйте реестр из под ерд.


Загрузился, но как-то странно. Ничего похожего на ссылки (http://wiki.drweb.com/index.php/Userinit и ...2) не появилось, совершенно другая картинка. Пробую CureItом показал 29 объектов (еще пока не закончил): Trojan.Packed.19247 и trojan.Botnetlog.126 в разных DLLках и Load(1).exe...

Мда...

#11 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 02 Январь 2010 - 22:57

ВОт дождался обнуления счетчика. И ничего не произошло. Ничего не запускается почти... Накачал ERDC (кстати, на Майкрософте прикидываются, что не знаю Microsoft Diagnostics and Recovery Toolkit, хотя по слухам они так назвали этот самый ERD Commander)... Перегрузил, и все - по-новой... Считает, тварь... Все заблокировано...

Немного не понял....
Экспортируйте реестр из под ерд.


Загрузился, но как-то странно. Ничего похожего на ссылки (http://wiki.drweb.com/index.php/Userinit и ...2) не появилось, совершенно другая картинка. Пробую CureItом показал 29 объектов (еще пока не закончил): Trojan.Packed.19247 и trojan.Botnetlog.126 в разных DLLках и Load(1).exe...

Мда...


Вот в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell REG_SZ cmd.exe /k start cmd.exe

ОНО???

#12 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 02 Январь 2010 - 23:02

Dartline
где логи по правилам?




Вот нашел в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e

Насколько я понимаю, это оно и есть?

Пока лог экспортированный не могу отправить: он на флэшке, с которой я запустил Dr.WEeb Scanner... уже 01:15 работает, нашел 29 троянов (см в комментах)...

#13 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 02 Январь 2010 - 23:14

Dartline
где логи по правилам?

Вот нашел в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e
Насколько я понимаю, это оно и есть?

Не думаю. Это похоже на шелл при загрузке в "Безопасный режим с поддержкой командной строки".
С уважением,
Борис А. Чертенко aka Borka.

#14 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 02 Январь 2010 - 23:21

Dartline
где логи по правилам?

Вот нашел в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e
Насколько я понимаю, это оно и есть?

Не думаю. Это похоже на шелл при загрузке в "Безопасный режим с поддержкой командной строки".



Т.е., нструкции по ссылке http://wiki.drweb.com/index.php/Userinit (в самом низу) - неправильные?

#15 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 03 Январь 2010 - 00:00

Dartline
где логи по правилам?

Вот нашел в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e
Насколько я понимаю, это оно и есть?

Не думаю. Это похоже на шелл при загрузке в "Безопасный режим с поддержкой командной строки".

Т.е., нструкции по ссылке http://wiki.drweb.com/index.php/Userinit (в самом низу) - неправильные?

Инструкции-то правильные... Сделайте экспорт ветки Winlogon.
С уважением,
Борис А. Чертенко aka Borka.

#16 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 03 Январь 2010 - 00:19

Dartline
где логи по правилам?

Вот нашел в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e
Насколько я понимаю, это оно и есть?

Не думаю. Это похоже на шелл при загрузке в "Безопасный режим с поддержкой командной строки".

Т.е., нструкции по ссылке http://wiki.drweb.com/index.php/Userinit (в самом низу) - неправильные?

Инструкции-то правильные... Сделайте экспорт ветки Winlogon.



Вот 2 файла... В общем ... читал-читал этот самый DrWeb, дочитал, сказал, что 46 файлов заражено, а лечить отказался. Вывалился с синим окном счастья напоследок... Вот найти бы этих уродов, да поблагодарить.... Лет на семь...

Прикрепленные файлы:



#17 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 03 Январь 2010 - 00:23

Dartline
где логи по правилам?

Вот нашел в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell_____________REG_SZ______________ cmd.exe /k start cmd.ex[/b]e
Насколько я понимаю, это оно и есть?

Не думаю. Это похоже на шелл при загрузке в "Безопасный режим с поддержкой командной строки".

Т.е., нструкции по ссылке http://wiki.drweb.com/index.php/Userinit (в самом низу) - неправильные?

Инструкции-то правильные... Сделайте экспорт ветки Winlogon.

Вот 2 файла... В общем ... читал-читал этот самый DrWeb, дочитал, сказал, что 46 файлов заражено, а лечить отказался. Вывалился с синим окном счастья напоследок... Вот найти бы этих уродов, да поблагодарить.... Лет на семь...

Что за файлы заражены? И чем? На какой стадии упал в синьку? Есть ли дамп падения?
С уважением,
Борис А. Чертенко aka Borka.

#18 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 03 Январь 2010 - 00:27

Вот 2 файла...

Судя по "X:\windows\system32\userinit.exe," - это, как я понимаю, экспорт родной ветки ЕРД. Нужен экспорт ветки винды на харде.
С уважением,
Борис А. Чертенко aka Borka.

#19 bvas

bvas

    Advanced Member

  • Posters
  • 558 Сообщений:

Отправлено 03 Январь 2010 - 01:08

Voyager63

cmd.exe /k start cmd.exe

ОНО???

Похоже оно!! Осталось найти и достать!!!

#20 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 03 Январь 2010 - 01:55

Voyager63

cmd.exe /k start cmd.exe
ОНО???

Похоже оно!! Осталось найти и достать!!!

Что достать? Откуда достать? :( cmd /? в помощь.
С уважением,
Борис А. Чертенко aka Borka.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых