-
Junior Member
- Вес репутации
- 52
Словил вирус
Вчера на одном сайте словил вирус. В итоге получил заставку "введите код". Заставка, судя по тому, что я успел заметить, живет где-то в java-приложении. Блокирует ось, ограничивая движение мышки только в своем окне. Судя по сообщению баннера, у меня 12 часов на оплату, прежде чем система упадет. Правда, эти часы уже прошли.
Сейчас поднял Винду в LiveCD, чтобы сделать все нужные проверки. Помогите, пожалуйста, починить.
CureIt нашел следующий вирус - Tool.NirCmd.1
Последний раз редактировалось thyrex; 13.03.2012 в 16:59.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 52
Я со своего LiveCD смог в реестр залезть через regedit
Посмотрел.
Userinit - X:\i386\system32\userinit.exe
Shell - Explorer.exe
Но userinit он с LiveCD берет.
-
это параметры с LiveCD, а нужны системные
-
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Bratez, выгрузил куст через Ваш вариант, но там не было Winlogon'а.
polword, userinit - C:\Windows\System32\userinit.exe
shell - C:\DOCUME~1\ITS~1.MAN\LOCALS~1\Temp\0.842026524739 1141.exe
Это файл из шелла у меня вызывает подозрения с самого утра. Создан вчера.
Добавлено через 20 минут
Изменил значение shell на Explorer.exe Зашел нормально в винду.
Файл удалил с помощью CureIt!
Последний раз редактировалось Cke4; 02.03.2011 в 11:09.
-
Очень хорошо!
Теперь сделайте логи по правилам, посмотрим, не осталось ли чего.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Последний раз редактировалось thyrex; 13.03.2012 в 17:00.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\ITS~1.MAN\LOCALS~1\Temp\YNX46H77.sys','');
DeleteFile('C:\DOCUME~1\ITS~1.MAN\LOCALS~1\Temp\YNX46H77.sys');
DeleteFileMask('C:\DOCUME~1\ITS~1.MAN\LOCALS~1\Temp', '*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=98817).
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Спасибо.
Все сделал. Вот новый лог. Карантин прислал.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Отлично! Спасибо большое за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-