Показано с 1 по 6 из 6.

Словил 3381 (заявка № 79171)

  1. #1
    Junior Member Репутация
    Регистрация
    23.05.2010
    Сообщений
    37
    Вес репутации
    24

    Exclamation Словил 3381

    Доброго времени суток!
    Поймал троян просит M201517851 на 3381
    Гружусь в WinPE, там могу править реестр!

    ветка
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs является пустым!
    После появления банера в
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    прописывается параметр:
    Код:
    Prkiller.exe со значением = %system%system32\prkiller.exe
    После этого, при следующей загрузке появляется синий экран смерти с сообщением о проблемах в файле: bppzsvk.sys

    p.s. естественно все глушится и не дает делать отчеты!

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    Цитата Сообщение от Dim21 Посмотреть сообщение
    AppInit_DLLs является пустым!
    Это вряд ли возможно
    Попробуйте воспользоваться информацией из этой темы http://virusinfo.info/showthread.php?t=72176 или воспользуйтесь ERD Commander
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    23.05.2010
    Сообщений
    37
    Вес репутации
    24
    Мне не ясен ваш ответ я его понял так: после старта winxp PE реестр сначала необходимо загрузить в редактор реестра, и только после этого с ним работать????
    т.е. если я правильно понял: после того как загружается winxp PE, значения реестра которые он показывают не являются достоверными??? ПОэтому отображение AppInit_DLLs пустым, является ошибкой??

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    Цитата Сообщение от Dim21 Посмотреть сообщение
    ПОэтому отображение AppInit_DLLs пустым, является ошибкой??
    С этим порноблокером такое невозможно

    Цитата Сообщение от Dim21 Посмотреть сообщение
    после старта winxp PE реестр сначала необходимо загрузить в редактор реестра
    Куст реестра нужно загрузить

    А вообще лучше использовать ERD Commander. В нем с реестром работаешь как будто бы в обычной системе
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    23.05.2010
    Сообщений
    37
    Вес репутации
    24
    1.Загрузился под WinPE
    2. Загрузил в редакторе из папки config файл software
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    зашел

    Код:
    AppInit_DLLs
    там прописано
    Код:
    c:\windows\help\nvwcpth.hlp:dhl+GzqR
    удалил это значение..... почистил ситему утилиткой cureIT.... Перегрузился и все равно увидел присутствие вируса например опять синий экран смерти ссылающийся на ошибку в файле bppzsvk.sys а в RUN прописался prkiller.exe

    И тут возник вопрос в чем разница между ERD и WinPE: скачал erdcommander 2010 записал на диск.. загрузился с него... открыл реестр там не показывается что в RUN прописался prkiller.exe... Т.е. под erd я вижу все нормальные процессы которые у меня всегда грузились (среди них prkiller.exe нету) комп не грузится из-за синего экрана смерти.. Если же гружусь из под winPE вижу в RUN только prkiller.exe (стандартные процессы вижу только после того как подгружаю куст реестра) удаляю его и без проблем загружаю винду в нормальном режиме без экрана смерти...

    установил обновления после SP3 preSP4 от 26ноября.
    Последний раз редактировалось Dim21; 25.05.2010 в 00:44.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    И что это?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) Dim21, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Словил руткита(
      От bossmen5 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2012, 20:33
    2. Чудом Словил!
      От fallout в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 18.08.2011, 16:08
    3. Словил заразу
      От Demoniq3000 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.06.2010, 14:14
    4. что-то словил
      От gembird в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.02.2009, 19:40
    5. Словил спам-бот
      От SergeSerge в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 06.02.2009, 21:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00637 seconds with 19 queries