Номер: 8353 текст: 4956**** Розовый баннер (решение)
#1
Отправлено 04 Июль 2010 - 12:08
Номер: 8353 текст: 4956****
Если у вас такая же проблема, то надеюсь вам поможет примерный алгоритм моих действий.
1. Программы которые использовал Я :
Dr.Web CureIt!® -http://www.freedrweb.com/cureit/
Aavz -http://exfile.ru/112189
2. Имея второй рабочий комп с инетом скачал Aavz, разархивировал и обновил базы. Кинул папку с Aavz на флешку, туда же и Dr.Web CureIt.
3. Врубаем зараженный комп и жмем F8 до появления выбора режима загрузки и Выбираем БЕЗОПАСНЫЙ РЕЖИМ С ПОДДЕРЖКОЙ КОМАНДНОЙ СТРОКИ.
4. Дождавшись загрузки винды на экране ничего кроме окна с командной строкой не будет..Это и хорошо.
Жмем Ctrl+Alt+Delet и в появившемся Диспетчере Задач идем Файл>Новая задача(выполнить) пишем explorer и OK. Также я прописал msconfig и выбрал "Диагнстический запуск..." (это действие никаких особых результатов не давало, поэтому делайте на свое усмотрение).
5. И так, после всех вышеописанных действий у вас должны появится панель задач, рабочий стол и никакого розового баннера.Первое что я попытался сделать, восстановить систему через Пуск/Программы/Стандартные/Служебные/Восстановление системы ...Получив в ответ отказ поехал дальше.
6. Полностью почистил папку C:\Documents and Settings\Имя пользователя\Local Settings\Temp. и проверил Назначенные задания
7. В ветке реестра «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon» ключ Userinit был изменен, поэтому восстановил значение на «C:\Windows\system32\userinit.exe,»
6. На компе запустил TotalComander и подключил флешку. Скинул программы на раб стол. Сначала запустил Dr.Web CureIt и проверил все диски. Было обнаруженно 23 файла с троянами (к сожалению названий не сохранил). Далее проверил через Aavz(ничего не нашел). В Aavz выбрал пункт "Установить драйвер расширенного мониторинга процессов", далее Файл/Стандартные скрипты/Поиск и нейтрализация RootKit UserMode....После этого выбрал Файл/Мастер поиска и устранения проблем
Категория: системные проблемы
Степень: все проблемы
Получил список в котором обратил внимание на строку ( дословно не помню) "Изменение подписи ключей проводника.." Выделил и нажал "исправить"
Надеюсь описанные действия помогут вам удалить баннер
Извиняюсь за столь дилетантское изложение, но я человек далекий от программирования и безопасности, объяснил как мог . Надеюсь здесь найдется человек, который более грамотно и доступно напишет как бороться с РОЗОВЫМ БАННЕРОМ и сделает все необходимые логи.
#2
Отправлено 04 Июль 2010 - 12:33
#3
Отправлено 04 Июль 2010 - 15:09
#4
Отправлено 04 Июль 2010 - 15:12
Вы его отправили в вирлаб?Это очень долго) Я сегодня весь день убил чтобы избавиться от этого баннера, в итоге все-таки смог его найти. Через безопасный режим попасть в систему не удалось, тогда я воспользовался виртуальной виндой. Кстати Др.Веб с последними обновлениями его не видит. Так вот исполняемый файл трояна находится по адресу C:\Program Files\Common Files\Microsoft Shared и имеет имя mssoft.exe - смело удаляйте его. Ну а дальше не забудьте почистить комп на предмет его следов, надеюсь помог
----------
Будете писать во все темы -получите в глаз.
#5
Отправлено 04 Июль 2010 - 15:13
#6
Отправлено 04 Июль 2010 - 15:18
Вирусы отправляют через форму https://vms.drweb.com/sendvirus/Архив с трояном я выслал на ваш сайт. прикрепил в своем запросе. Если что могу сделать это повторно
#7
Отправлено 04 Июль 2010 - 15:19
Ну как попасть в безопасный режим я писал. Надеюсь что Безопасный режим+твой метод и будет самым быстрым решением для других.
#8
Отправлено 04 Июль 2010 - 15:21
Спасибо за ссылку. Троян отправил. Думаю в ближайшее время веб научится его распознавать.
#10
Отправлено 04 Июль 2010 - 16:29
#11
Отправлено 05 Июль 2010 - 10:58
Для многих подходит 2047692
Тут он врятли поможет
3 кода мне выдавало и не помог
An_lime, Спасибо большое помогло
Правда 7 пункт у меня ОК был
Но: была ещё 1 папка (winlogon) с ключём реестра в котором была прописана задача для explorer.exe с путём указывающим на: C:\Program Files\Common Files\Microsoft Shared\mssoft.exe
Вот более простая инструкция:
1. Включаем комп F8 (F5) и Выбираем - Безопасный режим с поддержкой командной строки
2. Жмем Ctrl+Alt+Delet и в появившемся Диспетчере Задач идем Файл>Новая задача(выполнить) пишем explorer и OK
3. Заходим C:\Program Files\Common Files\Microsoft Shared и удоляем mssoft.exe
Файл mssoft.exe - скрытый (если не видите, то включите отображение "Скрытых файлов")
4. Пуск - Выполнить - ввести: regedit
Далее:
«HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion»
Прокручиваем список вниз до Winlogon
Далее:
Видим 2 таких папки: 1- Winlogon (реальная системная папка) и 2- winlogon (создана вирусом)
нам нужен 2-ой: winlogon
*как видим отличие только в 1-ой букве (в 1 - с большой; во 2 - с маленькой)
Выбираем папку winlogon - и удоляем её (не перепутайте)
4.1 Теперь заходим в Winlogon: ищем ключ: "Shell" - жмём Изменить - в поле Значение стираем всё кроме: Explorer.exe
4.2 Возможно: «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon» если ключ Userinit был изменен, то: восстановить значение на «C:\Windows\system32\userinit.exe,»
4.3 Проверить hosts находящийся в C:\Windows\System32\Drivers\Etc\ ,если есть подозрительные адреса - удалить эти строчки
5. Можете перезагружаться в "Обычном режиме" и проверяться с помощью Dr.Web CureIt!® или штатного Антивируса
Не забудьте обновить базы данных Антивируса
Просьба к модераторам раздела: Прикрепите тему наверх
Ввиду того что это реально работающий способ на данный момент, а ключи которые на сайте предлогаются не работают
Обновлено: 05.07 - 15.00
Создано: An_lime (основа), Darkman, N-Genie
#12
Отправлено 05 Июль 2010 - 11:02
вредная программа может стартовать и в таком режиме.1. Включаем комп F8 (F5) и Выбираем БЕЗОПАСНЫЙ РЕЖИМ С ПОДДЕРЖКОЙ КОМАНДНОЙ СТРОКИ
может быть в другом месте и с другим именем.3. Заходим C:\Program Files\Common Files\Microsoft Shared и удоляем mssoft.exe
совет не универсален, к сожалению.Просьба к модераторам раздела: Прикрепите тему наверх
#13
Отправлено 05 Июль 2010 - 11:29
Да обновится (и факт что эта с... обновит) и будет там запускаться, но на данный момент это единственный способ! Способов решения нигде нет, а сидеть и ждать неделю пока не появится код или платить 300 руб - это не выход
Я перерыл весь инет и сайты антивирусников и нигде не нашёл ключей для данного блокера
Например, у Др веб - только рекомендация: "введите этот ключ"
А ключ оказывается 1 на все такие вариации блокера и при этом не работает!
+перебпробывал штук 10-20 кодов и так не избавился от блокера
Данный же способ предложеный An_lime помог!
Да не универсален, НО: он помог "здесь и сейчас"
#14
Отправлено 05 Июль 2010 - 12:10
#15
Отправлено 05 Июль 2010 - 12:45
делайте логи по Правилам для контроля
#16
Отправлено 05 Июль 2010 - 13:43
Видим 2 таких папки: 1- Winlogon (реальная системная папка) и 2- winlogon (создана вирусом)
нам нужен 2-ой: winlogon
*как видим отличие только в 1-ой букве (в 1 - с большой; во 2 - с маленькой)
Выбираем папку winlogon - и удоляем её (не перепутайте)
Добавлю от себя.
1. В ветке Winlogon троянец дописывает себя в ключ "Shell" после "Explorer.exe" (аналогичная запись как в фальшивом разделе winlogon), так что надо изменить этот ключ, оставив Explorer.exe и удалив остальное.
2. Проверить Userinit +
3. Проверить hosts находящийся в C:\Windows\System32\Drivers\Etc\ ,если есть подозрительные адреса - удалить эти строчки, а вообще сканер и CureIT детектят изменения в этом файле и восстанавливают его по умолчанию
#17
Отправлено 05 Июль 2010 - 14:12
Чтоб всё было в 1 месте
#18
Отправлено 05 Июль 2010 - 14:22
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2
http://wiki.drweb.com/index.php/Userinit3
#19
Отправлено 05 Июль 2010 - 14:26
..в юзеринит и шелл винлоки и прочие оболочные троянцы еще сто лет назад прописывались,..
а защититься от заражения проще простого:
ставим в настройках Spider Guard антивируса Dr.Web все галочки в поле "Предотвращение подозрительных действий" и винлоки идут курить бамбук..
#20
Отправлено 05 Июль 2010 - 14:34
У спайдера нет такой опции.ну людям искать в лом, слишком много букв.. терминов.. форум ближе -)
..в юзеринит и шелл винлоки и прочие оболочные троянцы еще сто лет назад прописывались,..
а защититься от заражения проще простого:
ставим в настройках Spider Guard антивируса Dr.Web все галочки в поле "Предотвращение подозрительных действий" и винлоки идут курить бамбук..
И против всех винлоков не поможет
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых