Показано с 1 по 9 из 9.

Винлокер - тяжелый случай =( (заявка № 105359)

  1. #1
    Junior Member Репутация
    Регистрация
    07.07.2011
    Сообщений
    4
    Вес репутации
    20

    Винлокер (Windows просит отправить смс) / [Решено]

    Проблема

    Доброго времени суток мальчики, помогите разобраться с бедой.. именно винлокером =(
    раньше не раз убивала этих паразитов, но этот на редкость с... живучий

    OS: Windows XP SP3
    A/V:Avast!

    Что делала : грузилась с ЕДР командера фиксила ветку реестра :

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    Что заметила :
    Ключ : userinit чист, т.е значение в нем верное : С:\WINDOWS\system32\userinit.exe

    Ключ :

    Shell="C:\Documents and Settings\All Users\Application Data\OCxxxxxx.exe"

    Тут тут же все прибила, выставила верноее значение т.е Explorer.exe , удалила файл OCxxxxxx.exe - жирным то что не помню
    запустила HijackThis им пофиксила ключи связанные с Ie
    фото зловреда : http://img12.imageshost.ru/img/2011/...4ca78151d1.jpg
    хелп ми =(

    upd : ключи автозагрузки чистые рунонс и рун
    Скрыть

    Решение


    В итоге зараза побеждена, вот заключение :
    1) Лицо зловреда : http://img12.imageshost.ru/img/2011/...4ca78151d1.jpg

    2) Подозрительные факты :

    А) В Ветке реестра :
    Код:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Ключ :
    Код:
    "Shell"= "C:\Documents and Settings\All Users\Application Data\OCxxxxxx.exe"
    имеет такой вид, удаляем файл по этому пути, меняем значение этого ключа на "Explorer.exe". Т.е приводим этот ключ к такому виду :
    Код:
    "Shell"= "Explorer.exe"
    B) далее : видим ключ реестра :
    Код:
    "userinit"= "C:\Windows\system32\userinit.exe,"
    С виду все чисто но не тут то было, идём по этому пути смотрим дату создания файла.. хм 2011 как то не вяжется, качаем чистый файл заменяем файл taskmgr.exe и userinit.exe итого качаем эти файлы из аттачмента и заменяем их по путям на зараженной машине :

    Код HTML:
    *:\Windows\System32\taskmgr.exe
    *:\Windows\System32\dllcache\taskmgr.exe
    *:\Windows\System32\dllcache\userinit.exe
    *:\Windows\System32\userinit.exe
    *- Литера диска где установленна ОС
    Скрыть
    Последний раз редактировалось AnyaBest; 08.07.2011 в 19:13. Причина: upd

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) AnyaBest, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    224
    Здравствуйте.
    Давайте попробуем так:
    1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
    Должен появиться проводник.
    2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
    Код:
    <диск с заблокированой ОС>:\WINDOWS\System32\config
    Затем сообщите :
    В ключе
    Код:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    значение параметра
    Код:
    Userinit
    и значение параметра
    Код:
    Shell

  5. #4
    Junior Member Репутация
    Регистрация
    07.07.2011
    Сообщений
    4
    Вес репутации
    20
    Спасибо за быстрый отклик!!
    Но я же уже написала все то о чем вы меня просите сейчас

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    Что заметила :
    Ключ : userinit чист, т.е значение в нем верное : С:\WINDOWS\system32\userinit.exe

    Ключ :

    Shell="C:\Documents and Settings\All Users\Application Data\OCxxxxxx.exe"

    Тут тут же все прибила, выставила верноее значение т.е Explorer.exe , удалила файл OCxxxxxx.exe - жирным то что не помню
    UPD: сэйф мод не работает просто чёрный экран в разных режимах

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    224
    Система загружается?
    Если нет, то сообщите текущие значения параметров.
    Если да, то сделайте логи по правилам.

  7. #6
    Junior Member Репутация
    Регистрация
    07.07.2011
    Сообщений
    4
    Вес репутации
    20
    Система не загружается, указаны текущие параметры системы. после проделанных мной операций винлокер продолжает работать и осаждать мою ос =(
    Текущие параметры :
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Shell= C:\Documents and Settings\All Users\Application Data\OCxxxxxx.exe - пробывала чистить но при каждой загрузке ОС параметр приобретает сей вид. т.е после справление этого ключа и удалении файла OCxxxxxx.exe ос остается залоченой
    userinit= C:\Windows\system32\userinit.exe,
    ЗЫ : подозреваю файлы userinit.exe и taskmgr.exe и возможно regedit.exe в папках system32 и system32\dllcache подменены на зараженные, под рукой нет ни дистрибутива ни живой тачки с Windows XP SP3, скиньте пожалуйста чистые файлы

    Список возможно зараженных файлов :
    C:\Windows\System32\taskmgr.exe
    C:\Windows\System32\dllcache\taskmgr.exe
    C:\Windows\System32\dllcache\userinit.exe
    C:\Windows\System32\userinit.exe
    Ребятаа, скиньте эти файлы для Windows XP SP3 пожалууйста

    Добавлено через 48 минут

    ап

    Добавлено через 6 часов 14 минут

    up
    Последний раз редактировалось AnyaBest; 08.07.2011 в 07:34. Причина: Добавлено

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от AnyaBest Посмотреть сообщение
    подозреваю файлы userinit.exe и taskmgr.exe
    Скорее всего, так и есть. Проверить несложно по дате изменения.

    Чистые файлы в приложении.
    Вложения Вложения
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    07.07.2011
    Сообщений
    4
    Вес репутации
    20
    В итоге зараза побеждена, вот заключение :
    1) Лицо зловреда : http://img12.imageshost.ru/img/2011/...4ca78151d1.jpg

    2) Подозрительные факты :

    А) В Ветке реестра :
    Код:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Ключ :
    Код:
    "Shell"= "C:\Documents and Settings\All Users\Application Data\OCxxxxxx.exe"
    имеет такой вид, удаляем файл по этому пути, меняем значение этого ключа на "Explorer.exe". Т.е приводим этот ключ к такому виду :
    Код:
    "Shell"= "Explorer.exe"
    B) далее : видим ключ реестра :
    Код:
    "userinit"= "C:\Windows\system32\userinit.exe,"
    С виду все чисто но не тут то было, идём по этому пути смотрим дату создания файла.. хм 2011 как то не вяжется, качаем чистый файл заменяем файл taskmgr.exe и userinit.exe итого качаем эти файлы из аттачмента и заменяем их по путям на зараженной машине :

    Код HTML:
    *:\Windows\System32\taskmgr.exe
    *:\Windows\System32\dllcache\taskmgr.exe
    *:\Windows\System32\dllcache\userinit.exe
    *:\Windows\System32\userinit.exe
    *- Литера диска где установленна ОС
    Вложения Вложения
    Последний раз редактировалось AnyaBest; 08.07.2011 в 19:12.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    224
    Сделайте логи по правилам, может кто остался.

  • Уважаемый(ая) AnyaBest, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Тяжелый случай
      От DasTPID в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 29.07.2010, 11:04
    2. Тяжелый случай
      От Antonnio в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.07.2009, 02:43
    3. Руткит-невидимка, тяжелый случай
      От ZeroDance в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 03.04.2009, 23:09
    4. Очень тяжелый случай....
      От Awdik в разделе Помогите!
      Ответов: 32
      Последнее сообщение: 22.02.2009, 03:24
    5. Ответов: 24
      Последнее сообщение: 23.11.2007, 08:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00481 seconds with 22 queries