118 ответов в этой теме

[Nemiroff]

Здравствуйте! Столкнулся с такой проблемой как Winlock да еще не знаю как его удалить, потому что в безопасном режиме он же и появляется=(

Скачал dr.web livecd установил на диск. Успешно загрузился с диска, начал сканирование... НО результатов сканирование не дало никакого вируса не было найдено. Сканировал оба жестких диска ( у меня их два). Я тут почитал в других темах что нужно некоторые файлы удалить, но у них другая операцмооная система. У меня Windows 7 SP1. Пожалуйста помогите удалить эту гадость, уже все нервы себе вытрепал. http://forum.drweb.com/public/style_emoticons/default/sad.png

P.S. я пишу с другого домашнего компьютера интернет подключить не могу к инфицированному компу т.к. необходимо создавать на компьютере соединение, а как такогого не предусмотрено буду выпонять ваши команды.

[userr]

Nemiroff
http://windows.microsoft.com/ru-RU/windows...uding-safe-mode
все режимы пробовали?
Безопасный режим с поддержкой командной строки ?
Загрузка последней удачной конфигурации ?

[Nemiroff]

Да пробовал всё то же самое. Всякие манипуляции с режимами загрузки делал. Безрезультатно. В моём распоряжении есть только загрузочный диск доктор веб

P.S. вид вотТАКОЙ у баннера, только у меня номер немного другой. Название баннера от туда же взял.

[userr]

Да пробовал всё то же самое. Всякие манипуляции с режимами загрузки делал. Безрезультатно.

еще раз - Безопасный режим с поддержкой командной строки - система грузится, но вылезает баннер. так?

В моём распоряжении есть только загрузочный диск доктор веб

http://forum.drweb.com/index.php?showtopic=301780 -- здесь описано что нужно сделать если у Вас drweb livecd
http://forum.drweb.com/index.php?showtopic=293348 -- здесь описано как скачать и что делать с win livecd

Сообщение было изменено userr: 26 Апрель 2011 - 11:44

[mrbelyash]

Здравствуйте! Столкнулся с такой проблемой как Winlock да еще не знаю как его удалить, потому что в безопасном режиме он же и появляется=(

Скачал dr.web livecd установил на диск. Успешно загрузился с диска, начал сканирование... НО результатов сканирование не дало никакого вируса не было найдено. Сканировал оба жестких диска ( у меня их два). Я тут почитал в других темах что нужно некоторые файлы удалить, но у них другая операцмооная система. У меня Windows 7 SP1. Пожалуйста помогите удалить эту гадость, уже все нервы себе вытрепал. http://forum.drweb.com/public/style_emoticons/default/sad.png

P.S. я пишу с другого домашнего компьютера интернет подключить не могу к инфицированному компу т.к. необходимо создавать на компьютере соединение, а как такогого не предусмотрено буду выпонять ваши команды.

Залейте на сайт rghost.ru такие файлы

С:\WINDOWS\System32\userinit.exe

С:\WINDOWS\System32\taskmgr.exe

А сюда киньте ссылку.

[Nemiroff]

userr

Говорю же, все способы загрузки пробовал и кторые вы мне предложили тоже.


mrbelyash
Сейчас попробуй сделать как вы сказали. А вот каким образом перекинуть, когда я нахожусь по Лайф Сиди. Он сразу флешку увидит когда я её вставлю? Какой путь к флешке? И не опасно переносить на флешке эти файлы?

[mrbelyash]

userr

Говорю же, все способы загрузки пробовал и кторые вы мне предложили тоже.


mrbelyash
Сейчас попробуй сделать как вы сказали. А вот каким образом перекинуть, когда я нахожусь по Лайф Сиди. Он сразу флешку увидит когда я её вставлю? Какой путь к флешке? И не опасно переносить на флешке эти файлы?

как правило флешку нужно вставить до загрузки.


-------

безопасный режим и иже с ними не поможет по одной простой причине,что троян подменяет userinit.exe, а он используется во всех режимах.

короче нужны файлы для анализа

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 12:16

[Nemiroff]

mrbelyash
А нет, к счастью флешку комп увидел и после загрузки Лайф Сиди. Пробую переносить

[userr]

Nemiroff
а пока вопросик: чтобы в Windows 7 вирус испортил userinit.exe, Вы должны были много всего в системе отключить. напр. UAC. так было дело?

[userr]

Nemiroff
скрыл письмо со ссылкой

[Nemiroff]

userr

Это которая спрашивает запустить исполняемый файл...или что-то в этом роде? Если про это спрашиваете, то да=((( я отключил эту службу почти сразу т.к. она ужасно надоедала. Если всё будет в порядке включу обратно=)

[userr]

Если про это спрашиваете, то да=((( я отключил эту службу почти сразу т.к. она ужасно надоедала.

поздравляю Вас.

[mrbelyash]

Эти в норме.

Посмотрите на диске файлы

C:\Windows\System32\03014D3F.exe
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

[userr]

Nemiroff
... и вообще поищите ехе файлы с недавней датой и странными именами в C:\Windows\System32\ , с:\users

[Nemiroff]

C:\Windows\System32\03014D3F.exe --- таковой отсутствует! Зато есть другие файлы и с длинным названием я их сейчас перенесу сюда

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe ------ а вот этот имеется сейчас я его тоже перенесу сюда

[mrbelyash]

C:\Windows\System32\03014D3F.exe --- таковой отсутствует! Зато есть другие файлы и с длинным названием я их сейчас перенесу сюда

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe ------ а вот этот имеется сейчас я его тоже перенесу сюда

Ага...этот 22CC6C32.exe мне,а у себя на диске его грохнуть.

[Nemiroff]

Грохнул еще хочу отправить с подозрительный файл...

[headliner]

Файл 22CC6C32.exe детектится как winlock.3300

[Nemiroff]

Андрей Аракчеев

Доктор Веб промолчал к сожалению=(

[mrbelyash]

После того как удалите 22CC6C32.exe попробуйте нормально загрузиться...а я пока посмотрю куда он пишется.

------

umstartup.etl -не трогайте

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 13:06