Перейти к содержимому


Фото
- - - - -

3116 84444

Автор karusel_oi , янв 21 2011 01:50

  • Please log in to reply
16 ответов в этой теме

#1 karusel_oi

karusel_oi

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Январь 2011 - 01:50

проблема совершенно банальна,но решения её не могу найти уж на протяжении половины дня((
просят отослать смс с текстом 9626806287 300 на номер 3116 либо на 84444
отредактировал реестр...
почистил cureit..
ничего.
и да...запускается в безопасном режиме при поддержке командной строки!
зажимая ctrl+shift+esc видно(хоть и мигает) что висит непонятный процесс 44227682.exe
помогите!)

Прикрепленные файлы:


#2 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 21 Январь 2011 - 09:46

есть возможность подключить винт к другой машине или на другой машине записать CD/DVD/флешку?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#3 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 21 Январь 2011 - 10:05

и да...запускается в безопасном режиме при поддержке командной строки!

читать внимательно
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#4 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 21 Январь 2011 - 10:12

Запускается безопасный с консолью?

Тогда в консоли набираем

taskkill /f /im 44227682.exe

далее в той же консоли

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#5 karusel_oi

karusel_oi

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Январь 2011 - 11:11

дело в том,что в безопасном режиме этот процесс не висит(
в RUN тоже всё впорядке!и shell и userinit опять же всё впорядке....

#6 karusel_oi

karusel_oi

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Январь 2011 - 11:20

winlogon.exe он???

#7 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 21 Январь 2011 - 11:25

karusel_oi
делайте лог cureit по Правилам в безопасном режиме.
запустите в безопасном режиме ftp://ftp.drweb.com/pub/drweb/tools/plstfix.exe

#8 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 21 Январь 2011 - 11:46

выход в сеть есть?

----

Экспортируйте сюда ветку реестра

HKEY_LOCAL_MACHINE
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#9 karusel_oi

karusel_oi

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Январь 2011 - 12:00

лог прикрепил
выход в сеть через заражённый нет(

Прикрепленные файлы:


#10 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 21 Январь 2011 - 12:04

karusel_oi
C:\Documents and Settings\admin\Application Data\44227682.exe - в вирлаб http://vms.drweb.com/sendvirus

ищите в реестре строку 44227682.exe

Сообщение было изменено userr: 21 Январь 2011 - 12:05

#11 karusel_oi

karusel_oi

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Январь 2011 - 12:07

всю ветку???она весит около 100 мб

#12 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 21 Январь 2011 - 12:08

всю ветку???она весит около 100 мб


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#13 karusel_oi

karusel_oi

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Январь 2011 - 12:17

отправил,из реестра убил)

#14 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 21 Январь 2011 - 12:19

отправил,из реестра убил)

помогло? где был в реестре?

#15 karusel_oi

karusel_oi

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Январь 2011 - 12:22

mrbelyash
вот)

Прикрепленные файлы:

  • Прикрепленный файл  111.zip   3,58К   10 Скачано раз

#16 karusel_oi

karusel_oi

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Январь 2011 - 12:24

он в winlogon shell был

#17 karusel_oi

karusel_oi

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Январь 2011 - 12:33

ребят,спасибо большое,помогло))
Назад к Помощь по лечению

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·