-
Junior Member
- Вес репутации
- 45
Винлокер...
Вылез винлокер.
Система вин 7.
Загрузился в XP Пытаясь найти заразу, но доступа Documents and Settings и другим каталогам нет из-за прав.
Как можно в этом случае поступить?
Хотелось бы вылечить систему именно с XP. Т.К мало ли что начнет делать зловред при попытках удаления (рекурсивное удаление и т.п)
Последний раз редактировалось penkovsky; 07.04.2012 в 16:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Welcome to VirusInfo!
Уважаемый(ая) penkovsky, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 45
Туплю..Доступ к Documents and Settings и не нужен то по сути.
Доступ к USers и папкам выше имеется.
Думаю что именно там сидит (в темпах скорее всего)
Вобщем, подскажите как найти с XP не загружаясь в вин 7
Добавлено через 4 минуты
И еще вопрос, можно ли с помощью xp'шного regedit'a загрузить куст реестра вин 7 и проводить манипуляции с реестром win 7 ?
http://virus-free.ru/ydalenie-sms-vi...tela-s-livecd/ Вот по этой инструкции к примеру
Последний раз редактировалось penkovsky; 07.04.2012 в 16:34.
Причина: Добавлено
-
Скачайте Universal Virus Sniffer (UVS) или с зеркала. Распакуйте архив в отдельную папку на рабочий стол.
- открывшимся окне выберите пункт "Выбрать каталог Windows".
- Укажите путь к каталогу с установленной Windows (например C:\Windows\)
- Выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования".
- Программа выдаст запрос на установку каталога цифровых подписей, нажмите "Да" и в следующем окне "Ок".
- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
-
-
Junior Member
- Вес репутации
- 45
пишет нет доступ к System
Добавлено через 2 минуты
Так как можно отредактировать правильно реестр семерки сидя на Xp ?
Добавлено через 1 час 8 минут
Итак, нашел я зловреда вот тут E:\Users\ME\AppData\Roaming
Под именем 36.exe
Запустил файлик на вирталке под XP (оказалось точно он).
В безопасном режиме таже картина (под виртуалкой)
Хотелось бы сначала убить на виртуалке его, а потом уже набравшись опыта на основной системе)
Последний раз редактировалось penkovsky; 08.04.2012 в 00:19.
Причина: Добавлено
-
Сообщение от
penkovsky
Итак, нашел я зловреда вот тут E:\Users\ME\AppData\Roaming
Под именем 36.exe
заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
-
-
Junior Member
- Вес репутации
- 45
Там же был обнаружен netprotocol.exe
Я так понимаю что еще и бэкдор засел ... ( http://news.drweb.com/show/?i=1970&c=23 )
Добавлено через 2 минуты
Спасибо за внимание к моей теме, заархивировал оба файла, карантин приложил.
Добавлено через 8 минут
И еще один нашелся, LatestDLMgr.exe в ..AppData\Roaming\OpenCandy\OpenCandy_2D3B8200ECEA 4E74B0B1B79358100E5D
Добавлено через 8 часов 20 минут
Есть кто живой?
Последний раз редактировалось penkovsky; 08.04.2012 в 09:04.
Причина: Добавлено
-
Вы файлы удалили? Система загрузилась нормально?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
если не загрузилась, то попробуйте скачать свежий CureIt и просканировать им.
После сделайте логи по правилам, чтобы убедиться, что не осталось заразы в системе.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \\netprotocol.exe - Trojan-Dropper.Win32.Dapato.aunp ( DrWEB: Trojan.Inject1.1410, BitDefender: Gen:Variant.Barys.2666, NOD32: Win32/SpyVoltar.A trojan, AVAST4: Win32:IRCBot-EOX [Trj] )
- \\36.exe - Trojan-Ransom.Win32.PornoAsset.fbq ( DrWEB: BackDoor.Butirat.60, BitDefender: Trojan.Generic.KDV.593123, NOD32: Win32/LockScreen.AKS trojan, AVAST4: Win32:Buterat-KH [Trj] )
-