Блокируется Windows, не зайти в безопасный режим (Trojan.Winlocker\Trojan.Hideproc)
У меня проблема такая:
При попытке входа в Windows высвечивается окно "Обнаружена нелицензионная копия Windows..." и т.д., просит отослать СМС с кодом #dd212 на номер 6008, а при попытке загрузки безопасного режима появляется синий экран, призывающий меня проверить диски на наличие ошибок и вирусов. Логи я делал с параллельной Windows, которую установил после заражения. Обе системы XP SP3. Также выполнил протоколирование загрузки зараженной системы (лог-файл ntbtlog.txt). Вроде как это и Winlocker, но DrWeb находит файлы в директории Documents and Settings/User/Application Data/Temp с названиями типа tmp1.tmp tmp2.tmp и т.д. и определяет их как вирус Trojan.Hideproc. Помогите пожалуйста!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Смысл нам от логов,которые сделаны в другой винде?
Сделайте полную проверку AVPTool или CureIt.
Так же можете сделать это:
подключите как куст реестр "больной" системы
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
не забудьте выгрузить куст
Это база AVZ не обновлена? Просто я проверял DrWeb который обновляю каждый день. В реестре я так и делал путем загрузки куста больной системы все менял, не помогало.
Последний раз редактировалось Pashoid; 10.08.2009 в 14:50.
Причина: Добавлено
Удалось запустить AVZ в зараженной системе через командную строку, которую я запустил через залипание-установка принтера-печать. Враждебными оказались процессы explorer.exe и noexe.exe при завершении процессов убрался синий экран, но дальше ничего не произошло, установка DrWeb стопорится на отключении модуля самозащиты+вирус завершает все сторонние процессы примерно каждые 4-5 минут( AVZ обновил кстати, но полная проверка результата не дала(
Update
Удалил файлы NoExe.exe explorer.exe, после чего успешно зашел в систему, но проводник не работает.
Последний раз редактировалось Pashoid; 10.08.2009 в 17:17.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от Pashoid
