-
Junior Member
- Вес репутации
- 53
Win32/LockScreen.GI
Здравствуйте. Ковырялся вчера вечером в инете и доковырялся, вылезло такое окно
Это окно нельзя ни переместить, ни закрыть и висит поверх всех окон. При попытке вызвать Диспетчер задач - мертвая тишина. NOD32 определил файл userlib.dll (C:\Users\Administrator\AppData\Roaming\Microsoft\ Windows\Cookies) как вероятно модифицированный Win32/LockScreen.GI троян и положил в карантин. После чего потух интернет. После перезагрузки машины окно больше не появлялось, но Диспетчер задач и интернет не заработали. Причем интернет передается через NAT с другого компьютера, к которому доступ остался.
ОС Windows 7 RTM x64. Собственно вопрос, сможете помочь вылечить это на х64 системе? И как быть с логами AVZ?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Log AVPTool
Вот, заодно и hijackthis.log...
Последний раз редактировалось STEALTH42; 15.01.2010 в 20:17.
-
1. Отключите восстановление системы и антивирус.
2. Выполните в AVPTool скрипт:
Код:
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
SetServiceStart('Schedule', 4);
QuarantineFile('C:\Users\Administrator\AppData\Local\Temp\b.exe','');
DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
DeleteFile('C:\Users\Administrator\AppData\Local\Temp\b.exe');
DeleteFile('C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
DeleteFile('{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(11);
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните в AVPTool скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67383
4. Пофиксите в HijackThis:
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users \ADMINI~1\AppData\Local\Temp\asdE1E.tmp
5. Сделайте новый лог исследования системы.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Следуя Вашим указаниям...
В пунктах 2 и 3, я так понял Вы имели ввиду не AVPToo, а AVZ?
Все выполнил, только quarantine.zip оказался пустым...
Но прогресс уже имеем, Диспетчер задач ожил, но инет пока в том же состоянии.
-
Выполните в AVPTool скрипт:
Код:
begin
ExecuteRepair(14);
ExecuteRepair(15);
ExecuteRepair(18);
RebootWindows(true);
end.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Когда пытаюсь пинговать основной шлюз провайдера через эту машину пишет вот чего
-
Попробуйте выполнить скрипт. Если результата он не даст, то придется ручками вписывать параметры соединения.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт, вбил настройки подключения по-новой и, о чудо, все заработало!!! Как же мне повезло, что наткнулся на ваш сайт! Огромнейшее спасибо!!!
Низкий поклон Вам, Aleksandra!
Добавлено через 1 час 32 минуты
Что-то все наоборот стало, т. е. интернет заработал, но теперь не могу зайти с нашего пациента на другой комп по локалке, а вот с другого без проблем заходит к пациенту. Так же некоторые приложения не могут получить доступ к инету, например: Обновление Windows или Steam. Есть идеи?
Последний раз редактировалось STEALTH42; 15.01.2010 в 23:34.
Причина: Добавлено
-
Сообщение от
STEALTH42
Есть идеи?
Нужно смотреть настройки сети. Других идей нет.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Настройки сети верны. Я думаю вся проблема в том, что компьютер перестал работать с доменными именами. Вот пример
если пинговать google.com по ip-адресу, то все хорошо. Может это о чем-то вам скажет...
-
Посмотрите настройки DNS и NAT.
Добавь для наглядности результаты выполнения следующих команд:
ipconfig /all
ping mail.ru
ping 194.67.57.126
nslookup mail.ru
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Такая картина получилась:
С настройками DNS и NAT все в порядке, по крайней мере до этого трояна все замечательно работало полтора года. Не пингует даже компьютер в локальной сети по его имени, только по IP.
-
А теперь ipconfig /all с машины на которой все OK.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Вобщем решил я проблему гораздо проще: загрузился с установочного диска своей ОС, выбрал "Обновление Windows" и все, сохранились все программы, все настройки и сеть с интернетом заработали как пологается. Так же помогает побороть последствия этого трояна стандартное Восстановление системы (и себе б сделал, но я отключил его сразу после установки ОС), на двух машинах так проделал и все замечательно, главное выбрать контрольную точку с датой до того как подцепили трояна. Почему бы и вам (хэлперам) не предлогать другим людям данным методом решать последствия этих троянов-вымогателей? Так ведь гораздо проще, быстрее и надежнее.
-
Сообщение от
STEALTH42
Почему бы и вам (хэлперам) не предлогать другим людям данным методом решать последствия этих троянов-вымогателей?
Потому что это не выход. В вашем случае на машине зловредов не было, а были их последствия.
Сердце решает кого любить... Судьба решает с кем быть...
-