Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Определить и выличить (заявка № 50436)

  1. #1
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    24
    Вес репутации
    27

    Thumbs up Определить и выличить

    Не удаеться определить к какой модификации относиться и методы лечения. Пробовал разные коды для разблокировки опубликованные на форуме, не помогло. Загружался с Live CD, просматривал содержимое папок, нет таких файлов о которых здесь так же писали. Как определить что это и как в дальнейшем с ним бороться? Возможно немного неудачный снимок.
    Изображения Изображения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    запустить надо avz на заражённой системе и сделать логи, скопируем экземпляр- будет лечение и возможность предотвращения не только для вас, но и для остальных.

    1. На клавиатуре необходимо нажать сочетание клавиш Windows+U, вызывая окно Мастера специальных возможностей:



    2. Из указанного меню может быть запущена Экранная лупа, активация которой сопровождается пояснительным текстом:




    Нажав на ссылку "Веб-узел Майкрософт", пользователь получает доступ к обозревателю Интернета, а, следовательно, может загружать и запускать антивирусные инструменты - AVZ, AVPTool, CureIt и т.д.

  4. #3
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    24
    Вес репутации
    27
    В том то и дело, что и это пробовал, не помогает. Не удается добраться до рабочего стола или куда бы еще... Блокировка полная. Что еще можно сделать?

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    А вот это пробовали?

    Загрузитесь с виндовского LiveCD или же подключите жесткий диск с больной системой к другому компьютеру. Но ничего не запускайте на подключенном диске!
    Проверьте наличие файлика userinit.exe в папке windows\system32.

    Далее
    1. Запустите regedit и выделите раздел HKEY_USERS.
    2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
    3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
    4. Введите имя для раздела, который вы загрузили, например, MyHive.
    посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
    не забудьте выгрузить куст

    Если поможет, проследуете на выполнение правил http://virusinfo.info/showthread.php?t=1235
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    24
    Вес репутации
    27
    Загрузился с Live CD. Перешел windows\system32 файл userinit.exe присутствует. Запустил regedit загрузил куст в этом разделе в параметре Userinit c:\windows\help\hlp.exe Что нужно дальше сделать? Удалить этот параметр? И попытаться загрузиться уже с зараженной системы?
    Последний раз редактировалось voleka; 22.07.2009 в 14:16.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    c:\windows\help\hlp.exe - не просто удалить, а куда-нибудь скопировать чтобы потом с нами поделиться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Читаем внимательно
    Цитата Сообщение от thyrex Посмотреть сообщение
    параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
    т.е. нужно вместо c:\windows\help\hlp.exe написать C:\WINDOWS\system32\userinit.exe,
    Последний раз редактировалось PavelA; 22.07.2009 в 14:47. Причина: Обшибся, не то поправил. все восстановил.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    24
    Вес репутации
    27
    В приветствии выбираю пользователя с правами администратора, рабочий стол моргает на мнговенье и в строке выбора пользователя появляется "завершение сеанса" При нажатии windows+U появляется выше указаное окно на фоне приветствия и выбора пользователей без сопровождения пояснительного текста. Так и не получается попасть на рабочий стол и запустить что либо. Что еще можно сделать?

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    voleka, Вы точно поправили все, как в предыдущем сообщении №7?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    24
    Вес репутации
    27
    Простите... каюсь... поторопился и сделал не внимательно... имя файла изменил на правильное, а пути остались старые... c:\windows\help\userinit.exe, сейчас установил правильно c:\windows\system32\userinit.exe, попал на рабочий стол... запустил AVZ, сейчас сканирует и готовит отчет.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    c:\windows\help\hlp.exe сохранили? иначе всё пойдёт насмарку...

  13. #12
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    24
    Вес репутации
    27
    Да, конечно сохранил. Сделал диагностику из правил п1. перезагрузил компьютер, иеперь не удалось попасть на рабочий стол... пришлось воспользоваться методом из поста №2 запустить AVZ еще раз и выполнить скрипт сбора информации для раздела "Помогите!" но логи отличаються и то что находиться в карантине и папке инфецированые и то что приготовлено в архиве virus.zip Что дальше сделать?

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    virus.zip грузить по http://virusinfo.info/showthread.php?t=50436

    Логи любые сюда в тему.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    24
    Вес репутации
    27
    Цитата Сообщение от PavelA Посмотреть сообщение
    virus.zip грузить по http://virusinfo.info/showthread.php?t=50436
    Получили?

    Цитата Сообщение от PavelA Посмотреть сообщение
    Логи любые сюда в тему.
    А как сюда в тему логи показать из папки LOG?

    Добавлено через 48 секунд

    Результат загрузки
    Файл сохранён как 090722_172312_virus_4a6712c0eee48.zip
    Размер файла 49816
    MD5 c709390f90db387441a37f1e0bd05a33

    Файл закачан, спасибо!

    Добавлено через 5 минут

    hlp.exe в архиве нет, я его удалил из папки windows\help и сохранил в другом разделе винта. Как мне его Вам прислать для иследования?
    Последний раз редактировалось voleka; 22.07.2009 в 17:42. Причина: Добавлено

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Логи Зазиповать и вложить сюда в сообщение.

    Файл, из-за которого все началось, найти через AVZ, добавить в карантин и прислать через красную ссылку
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    24
    Вес репутации
    27
    Цитата Сообщение от PavelA Посмотреть сообщение
    Файл, из-за которого все началось, найти через AVZ, добавить в карантин и прислать через красную ссылку
    Не нашел как через AVZ добавить файл, просто добавил его в архив.
    Результат загрузки
    Файл сохранён как 090722_180725_virus_4a671d1d7d8d0.zip
    Размер файла 84813
    MD5 f40108f83532a0661c5a176407d92e78

    Файл закачан, спасибо!

  18. #17
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    24
    Вес репутации
    27
    Вот папка лог.
    Вложения Вложения
    • Тип файла: zip LOG.ZIP (124.8 Кб, 4 просмотров)

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Восстановление системы: включено -- надо отключить.
    В дальнейшем присылай логи раздельно. Не нужно их в один файл запихивать.

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Windows\Help\hlp.exe','');
     QuarantineFile('C:\WINDOWS\system32\mlhost.exe','');
     QuarantineFile('C:\WINDOWS\mkchik.exe','');
     DeleteFile('C:\Windows\Help\hlp.exe');
     DeleteFile('C:\WINDOWS\system32\mlhost.exe');
     DeleteFile('C:\WINDOWS\mkchik.exe');
     ExecuteRepair(9);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать сюда virusinfo_syscheck.zip и virusinfo_syscure.zip
    Карантин загрузить по Правилам Приложение 3
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    24
    Вес репутации
    27
    Восстановление системы: включено -- надо отключить.
    В какой момент можно будет включить эту функцию?
    В дальнейшем присылай логи раздельно. Не нужно их в один файл запихивать.
    Понял, в дальнейшем так и буду делать.
    Прислать сюда virusinfo_syscheck.zip и virusinfo_syscure.zip
    Сделано
    Карантин загрузить по Правилам Приложение 3
    Результат загрузки
    Файл сохранён как 090723_091904_virus_4a67f2c8abfc3.zip
    Размер файла 111511
    MD5 a2ec6171d68ca89e5f6e76e102fa8e46

    Файл закачан, спасибо!
    Вложения Вложения

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Вот что было:
    'C:\Windows\Help\hlp.exe' - Trojan-Ransom.Win32.SMSer.dy
    C:\WINDOWS\mkchik.exe - Зловред Trojan-Spy.Win32.Agent.axky
    C:\WINDOWS\system32\mlhost.exe - Зловред Trojan-Clicker.Win32.Delf.cly

    Добавлено через 2 минуты

    Логи надо было заново сделать.
    извини, что не совсем точно написал.
    Последний раз редактировалось PavelA; 23.07.2009 в 10:04. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) voleka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Как определить вирус или нет?
      От serg_spam в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.02.2012, 22:28
    2. Функция выкл. работает на перезагрузку, не выкл.комп. (заявка №1608)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 10.02.2010, 21:00
    3. Не определить вирус
      От odimmo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.10.2009, 14:12
    4. Ответов: 4
      Последнее сообщение: 04.10.2009, 13:13
    5. Помогите определить причину
      От Gorski в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.08.2009, 09:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01116 seconds with 22 queries