-
Junior Member
- Вес репутации
- 47
Винлокер (Windows просит отправить смс) / [Решено]
Проблема
Доброго времени суток мальчики, помогите разобраться с бедой.. именно винлокером =(
раньше не раз убивала этих паразитов, но этот на редкость с... живучий
OS: Windows XP SP3
A/V:Avast!
Что делала : грузилась с ЕДР командера фиксила ветку реестра :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Что заметила :
Ключ : userinit чист, т.е значение в нем верное : С:\WINDOWS\system32\userinit.exe
Ключ :
Shell="C:\Documents and Settings\All Users\Application Data\OC
xxxxxx.exe"
Тут тут же все прибила, выставила верноее значение т.е Explorer.exe , удалила файл OC
xxxxxx.exe - жирным то что не помню
запустила HijackThis им пофиксила ключи связанные с Ie
фото зловреда :
http://img12.imageshost.ru/img/2011/...4ca78151d1.jpg
хелп ми =(
upd : ключи автозагрузки чистые рунонс и рун
Скрыть
Решение
В итоге зараза побеждена, вот заключение :
1) Лицо зловреда : http://img12.imageshost.ru/img/2011/...4ca78151d1.jpg
2) Подозрительные факты :
А) В Ветке реестра :
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Ключ :
Код:
"Shell"= "C:\Documents and Settings\All Users\Application Data\OCxxxxxx.exe"
имеет такой вид, удаляем файл по этому пути, меняем значение этого ключа на "Explorer.exe". Т.е приводим этот ключ к такому виду :
Код:
"Shell"= "Explorer.exe"
B) далее : видим ключ реестра :
Код:
"userinit"= "C:\Windows\system32\userinit.exe,"
С виду все чисто но не тут то было, идём по этому пути смотрим дату создания файла.. хм 2011 как то не вяжется, качаем чистый файл заменяем файл taskmgr.exe и userinit.exe итого качаем эти файлы из аттачмента и заменяем их по путям на зараженной машине :
Код HTML:
*:\Windows\System32\taskmgr.exe
*:\Windows\System32\dllcache\taskmgr.exe
*:\Windows\System32\dllcache\userinit.exe
*:\Windows\System32\userinit.exe
*- Литера диска где установленна ОС
Скрыть
Последний раз редактировалось AnyaBest; 08.07.2011 в 19:13.
Причина: upd
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) AnyaBest, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте.
Давайте попробуем так:
1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
Должен появиться проводник.
2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
Код:
<диск с заблокированой ОС>:\WINDOWS\System32\config
Затем сообщите :
В ключе
Код:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
значение параметра
и значение параметра
-
-
Junior Member
- Вес репутации
- 47
Спасибо за быстрый отклик!!
Но я же уже написала все то о чем вы меня просите сейчас
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Что заметила :
Ключ : userinit чист, т.е значение в нем верное : С:\WINDOWS\system32\userinit.exe
Ключ :
Shell="C:\Documents and Settings\All Users\Application Data\OC
xxxxxx.exe"
Тут тут же все прибила, выставила верноее значение т.е Explorer.exe , удалила файл OCxxxxxx.exe - жирным то что не помню
UPD: сэйф мод не работает просто чёрный экран в разных режимах
-
Система загружается?
Если нет, то сообщите текущие значения параметров.
Если да, то сделайте логи по правилам.
-
-
Junior Member
- Вес репутации
- 47
Система не загружается, указаны текущие параметры системы. после проделанных мной операций винлокер продолжает работать и осаждать мою ос =(
Текущие параметры :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell= C:\Documents and Settings\All Users\Application Data\OCxxxxxx.exe - пробывала чистить но при каждой загрузке ОС параметр приобретает сей вид. т.е после справление этого ключа и удалении файла OCxxxxxx.exe ос остается залоченой
userinit= C:\Windows\system32\userinit.exe,
ЗЫ : подозреваю файлы userinit.exe и taskmgr.exe и возможно regedit.exe в папках system32 и system32\dllcache подменены на зараженные, под рукой нет ни дистрибутива ни живой тачки с Windows XP SP3, скиньте пожалуйста чистые файлы
Список возможно зараженных файлов :
C:\Windows\System32\taskmgr.exe
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\userinit.exe
Ребятаа, скиньте эти файлы для Windows XP SP3 пожалууйста
Добавлено через 48 минут
ап
Добавлено через 6 часов 14 минут
up
Последний раз редактировалось AnyaBest; 08.07.2011 в 07:34.
Причина: Добавлено
-
Сообщение от
AnyaBest
подозреваю файлы userinit.exe и taskmgr.exe
Скорее всего, так и есть. Проверить несложно по дате изменения.
Чистые файлы в приложении.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
В итоге зараза побеждена, вот заключение :
1) Лицо зловреда : http://img12.imageshost.ru/img/2011/...4ca78151d1.jpg
2) Подозрительные факты :
А) В Ветке реестра :
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Ключ :
Код:
"Shell"= "C:\Documents and Settings\All Users\Application Data\OCxxxxxx.exe"
имеет такой вид, удаляем файл по этому пути, меняем значение этого ключа на "Explorer.exe". Т.е приводим этот ключ к такому виду :
Код:
"Shell"= "Explorer.exe"
B) далее : видим ключ реестра :
Код:
"userinit"= "C:\Windows\system32\userinit.exe,"
С виду все чисто но не тут то было, идём по этому пути смотрим дату создания файла.. хм 2011 как то не вяжется, качаем чистый файл заменяем файл taskmgr.exe и userinit.exe итого качаем эти файлы из аттачмента и заменяем их по путям на зараженной машине :
Код HTML:
*:\Windows\System32\taskmgr.exe
*:\Windows\System32\dllcache\taskmgr.exe
*:\Windows\System32\dllcache\userinit.exe
*:\Windows\System32\userinit.exe
*- Литера диска где установленна ОС
Последний раз редактировалось AnyaBest; 08.07.2011 в 19:12.
-
Сделайте логи по правилам, может кто остался.
-