Показано с 1 по 17 из 17.

Win32/LockScreen.GI (заявка № 67383)

  1. #1
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    26

    Cool Win32/LockScreen.GI

    Здравствуйте. Ковырялся вчера вечером в инете и доковырялся, вылезло такое окно

    Это окно нельзя ни переместить, ни закрыть и висит поверх всех окон. При попытке вызвать Диспетчер задач - мертвая тишина. NOD32 определил файл userlib.dll (C:\Users\Administrator\AppData\Roaming\Microsoft\ Windows\Cookies) как вероятно модифицированный Win32/LockScreen.GI троян и положил в карантин. После чего потух интернет. После перезагрузки машины окно больше не появлялось, но Диспетчер задач и интернет не заработали. Причем интернет передается через NAT с другого компьютера, к которому доступ остался.
    ОС Windows 7 RTM x64. Собственно вопрос, сможете помочь вылечить это на х64 системе? И как быть с логами AVZ?

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Сделайте лог с помощью AVPTool http://support.kaspersky.ru/avptool2...?qid=208637132
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    26

    Log AVPTool

    Вот, заодно и hijackthis.log...
    Вложения Вложения
    Последний раз редактировалось STEALTH42; 15.01.2010 в 20:17.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните в AVPTool скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    SetServiceStart('Schedule', 4);
     QuarantineFile('C:\Users\Administrator\AppData\Local\Temp\b.exe','');
     DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
     DeleteFile('C:\Users\Administrator\AppData\Local\Temp\b.exe');
     DeleteFile('C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
     DeleteFile('{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(1);
    ExecuteRepair(11);
    ExecuteRepair(14);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните в AVPTool скрипт:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67383

    4. Пофиксите в HijackThis:

    F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users \ADMINI~1\AppData\Local\Temp\asdE1E.tmp
    5. Сделайте новый лог исследования системы.
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    26

    Следуя Вашим указаниям...

    В пунктах 2 и 3, я так понял Вы имели ввиду не AVPToo, а AVZ?
    Все выполнил, только quarantine.zip оказался пустым...
    Но прогресс уже имеем, Диспетчер задач ожил, но инет пока в том же состоянии.
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Выполните в AVPTool скрипт:

    Код:
    begin
    ExecuteRepair(14);
    ExecuteRepair(15);
    ExecuteRepair(18);
    RebootWindows(true);
    end.
    Наша служба, будто сердце, отдыха не знает никогда.

  8. #7
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    26
    Когда пытаюсь пинговать основной шлюз провайдера через эту машину пишет вот чего

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Попробуйте выполнить скрипт. Если результата он не даст, то придется ручками вписывать параметры соединения.
    Наша служба, будто сердце, отдыха не знает никогда.

  10. #9
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    26
    Выполнил скрипт, вбил настройки подключения по-новой и, о чудо, все заработало!!! Как же мне повезло, что наткнулся на ваш сайт! Огромнейшее спасибо!!!

    Низкий поклон Вам, Aleksandra!

    Добавлено через 1 час 32 минуты

    Что-то все наоборот стало, т. е. интернет заработал, но теперь не могу зайти с нашего пациента на другой комп по локалке, а вот с другого без проблем заходит к пациенту. Так же некоторые приложения не могут получить доступ к инету, например: Обновление Windows или Steam. Есть идеи?
    Последний раз редактировалось STEALTH42; 15.01.2010 в 23:34. Причина: Добавлено

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от STEALTH42 Посмотреть сообщение
    Есть идеи?
    Нужно смотреть настройки сети. Других идей нет.
    Наша служба, будто сердце, отдыха не знает никогда.

  12. #11
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    26
    Настройки сети верны. Я думаю вся проблема в том, что компьютер перестал работать с доменными именами. Вот пример

    если пинговать google.com по ip-адресу, то все хорошо. Может это о чем-то вам скажет...

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Посмотрите настройки DNS и NAT.

    Добавь для наглядности результаты выполнения следующих команд:

    ipconfig /all
    ping mail.ru
    ping 194.67.57.126
    nslookup mail.ru
    Наша служба, будто сердце, отдыха не знает никогда.

  14. #13
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    26
    Такая картина получилась:


    С настройками DNS и NAT все в порядке, по крайней мере до этого трояна все замечательно работало полтора года. Не пингует даже компьютер в локальной сети по его имени, только по IP.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    А теперь ipconfig /all с машины на которой все OK.
    Наша служба, будто сердце, отдыха не знает никогда.

  16. #15
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    26

  17. #16
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    26
    Вобщем решил я проблему гораздо проще: загрузился с установочного диска своей ОС, выбрал "Обновление Windows" и все, сохранились все программы, все настройки и сеть с интернетом заработали как пологается. Так же помогает побороть последствия этого трояна стандартное Восстановление системы (и себе б сделал, но я отключил его сразу после установки ОС), на двух машинах так проделал и все замечательно, главное выбрать контрольную точку с датой до того как подцепили трояна. Почему бы и вам (хэлперам) не предлогать другим людям данным методом решать последствия этих троянов-вымогателей? Так ведь гораздо проще, быстрее и надежнее.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от STEALTH42 Посмотреть сообщение
    Почему бы и вам (хэлперам) не предлогать другим людям данным методом решать последствия этих троянов-вымогателей?
    Потому что это не выход. В вашем случае на машине зловредов не было, а были их последствия.
    Наша служба, будто сердце, отдыха не знает никогда.

  • Уважаемый(ая) STEALTH42, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Win32/LockScreen.AGD
      От Natsume в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.06.2011, 18:15
    2. Win32/LockScreen.DB
      От 50_Niggaz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.12.2009, 20:55
    3. Win32/LockScreen.DB
      От morphiii в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.12.2009, 18:59
    4. Win32\LockScreen.DB
      От morphiii в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.12.2009, 18:33
    5. вирус Win32/LockScreen.CI и Win32/LockScreen.CM
      От greg20 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.10.2009, 19:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01355 seconds with 20 queries