Определить и выличить
Не удаеться определить к какой модификации относиться и методы лечения. Пробовал разные коды для разблокировки опубликованные на форуме, не помогло. Загружался с Live CD, просматривал содержимое папок, нет таких файлов о которых здесь так же писали. Как определить что это и как в дальнейшем с ним бороться? Возможно немного неудачный снимок.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
запустить надо avz на заражённой системе и сделать логи, скопируем экземпляр- будет лечение и возможность предотвращения не только для вас, но и для остальных.
1. На клавиатуре необходимо нажать сочетание клавиш Windows+U, вызывая окно Мастера специальных возможностей:
2. Из указанного меню может быть запущена Экранная лупа, активация которой сопровождается пояснительным текстом:
Нажав на ссылку "Веб-узел Майкрософт", пользователь получает доступ к обозревателю Интернета, а, следовательно, может загружать и запускать антивирусные инструменты - AVZ, AVPTool, CureIt и т.д.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
В том то и дело, что и это пробовал, не помогает. Не удается добраться до рабочего стола или куда бы еще... Блокировка полная. Что еще можно сделать?
А вот это пробовали?
Загрузитесь с виндовского LiveCD или же подключите жесткий диск с больной системой к другому компьютеру. Но ничего не запускайте на подключенном диске!
Проверьте наличие файлика userinit.exe в папке windows\system32.
Далее
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
не забудьте выгрузить куст
Если поможет, проследуете на выполнение правил http://virusinfo.info/showthread.php?t=1235
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Загрузился с Live CD. Перешел windows\system32 файл userinit.exe присутствует. Запустил regedit загрузил куст в этом разделе в параметре Userinit c:\windows\help\hlp.exe Что нужно дальше сделать? Удалить этот параметр? И попытаться загрузиться уже с зараженной системы?
Последний раз редактировалось voleka; 22.07.2009 в 14:16.
c:\windows\help\hlp.exe - не просто удалить, а куда-нибудь скопировать чтобы потом с нами поделиться.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Читаем внимательно
т.е. нужно вместо c:\windows\help\hlp.exe написать C:\WINDOWS\system32\userinit.exe,Сообщение от thyrex
Последний раз редактировалось PavelA; 22.07.2009 в 14:47. Причина: Обшибся, не то поправил. все восстановил.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В приветствии выбираю пользователя с правами администратора, рабочий стол моргает на мнговенье и в строке выбора пользователя появляется "завершение сеанса" При нажатии windows+U появляется выше указаное окно на фоне приветствия и выбора пользователей без сопровождения пояснительного текста. Так и не получается попасть на рабочий стол и запустить что либо. Что еще можно сделать?
voleka, Вы точно поправили все, как в предыдущем сообщении №7?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Простите... каюсь... поторопился и сделал не внимательно... имя файла изменил на правильное, а пути остались старые... c:\windows\help\userinit.exe, сейчас установил правильно c:\windows\system32\userinit.exe, попал на рабочий стол... запустил AVZ, сейчас сканирует и готовит отчет.
c:\windows\help\hlp.exe сохранили? иначе всё пойдёт насмарку...
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Да, конечно сохранил. Сделал диагностику из правил п1. перезагрузил компьютер, иеперь не удалось попасть на рабочий стол... пришлось воспользоваться методом из поста №2 запустить AVZ еще раз и выполнить скрипт сбора информации для раздела "Помогите!" но логи отличаються и то что находиться в карантине и папке инфецированые и то что приготовлено в архиве virus.zip Что дальше сделать?
virus.zip грузить по http://virusinfo.info/showthread.php?t=50436
Логи любые сюда в тему.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Получили?
А как сюда в тему логи показать из папки LOG?
Добавлено через 48 секунд
Результат загрузки
Файл сохранён как 090722_172312_virus_4a6712c0eee48.zip
Размер файла 49816
MD5 c709390f90db387441a37f1e0bd05a33
Файл закачан, спасибо!
Добавлено через 5 минут
hlp.exe в архиве нет, я его удалил из папки windows\help и сохранил в другом разделе винта. Как мне его Вам прислать для иследования?
Последний раз редактировалось voleka; 22.07.2009 в 17:42. Причина: Добавлено
Логи Зазиповать и вложить сюда в сообщение.
Файл, из-за которого все началось, найти через AVZ, добавить в карантин и прислать через красную ссылку
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не нашел как через AVZ добавить файл, просто добавил его в архив.
Результат загрузки
Файл сохранён как 090722_180725_virus_4a671d1d7d8d0.zip
Размер файла 84813
MD5 f40108f83532a0661c5a176407d92e78
Файл закачан, спасибо!
Вот папка лог.
Восстановление системы: включено -- надо отключить.
В дальнейшем присылай логи раздельно. Не нужно их в один файл запихивать.
Выполнить скрипт:
Прислать сюда virusinfo_syscheck.zip и virusinfo_syscure.zipКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Windows\Help\hlp.exe',''); QuarantineFile('C:\WINDOWS\system32\mlhost.exe',''); QuarantineFile('C:\WINDOWS\mkchik.exe',''); DeleteFile('C:\Windows\Help\hlp.exe'); DeleteFile('C:\WINDOWS\system32\mlhost.exe'); DeleteFile('C:\WINDOWS\mkchik.exe'); ExecuteRepair(9); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин загрузить по Правилам Приложение 3
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В какой момент можно будет включить эту функцию?Восстановление системы: включено -- надо отключить.
Понял, в дальнейшем так и буду делать.В дальнейшем присылай логи раздельно. Не нужно их в один файл запихивать.
СделаноПрислать сюда virusinfo_syscheck.zip и virusinfo_syscure.zip
Результат загрузкиКарантин загрузить по Правилам Приложение 3
Файл сохранён как 090723_091904_virus_4a67f2c8abfc3.zip
Размер файла 111511
MD5 a2ec6171d68ca89e5f6e76e102fa8e46
Файл закачан, спасибо!
Вот что было:
'C:\Windows\Help\hlp.exe' - Trojan-Ransom.Win32.SMSer.dy
C:\WINDOWS\mkchik.exe - Зловред Trojan-Spy.Win32.Agent.axky
C:\WINDOWS\system32\mlhost.exe - Зловред Trojan-Clicker.Win32.Delf.cly
Добавлено через 2 минуты
Логи надо было заново сделать.
извини, что не совсем точно написал.
Последний раз редактировалось PavelA; 23.07.2009 в 10:04. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) voleka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
