-
Junior Member
- Вес репутации
- 48
Нужна помощь. На компе вирус trojan.winlock.2741
При загрузке компьютера появилось блокирующее окно. Изображение баннера прикрепляю к сообщению. Только номер другой. И он при новой загрузке меняется. На рабочем столе ничего не работает. Не возможно пользоваться пуском и панелью задач. Т.к. не было возможности поискать информацию о случившемся на других компьютерах, пришлось загрузить новый виндовс на второй жесткий диск. Узнала, что у меня вирус trojan.winlock.2741, но ни один антивирус его не видел при сканировании. Очень нужна ваша помощь.
Последний раз редактировалось Tinka; 02.03.2011 в 21:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 48
-
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Правильные значения для этих параметров:
Shell = Explorer.exe
Userinit = C:\Windows\System32\userinit.exe,
(с поправкой на букву системного раздела, символ запятая должен быть).
-
-
Junior Member
- Вес репутации
- 48
-
Сообщение от
Tinka
смогла зайти.
Теперь сделайте логи, посмотрим не осталось ли чего.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Сканировала компьютер с помощью Касперского, и вот недавно с помощью Dr.Web CureIt. Ничего не нашли. Сейчас стоит Nod 32.
Логи:
-
1.Профиксите в HijackThis
Код:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\valya\LOCALS~1\Temp\hSK5kv52.sys','');
DeleteFile('C:\DOCUME~1\valya\LOCALS~1\Temp\hSK5kv52.sys');
DeleteFile('%windir%\Tasks\At1.job');
DeleteFile('%windir%\Tasks\At2.job');
QuarantineFile('\Device\HarddiskVolume2\Documents and Settings\valya\Local Settings\Temp\F79C5650-B7A45940-80C79EE0-8F5EC7F8\21e84_xp.exe','');
DeleteFile('\Device\HarddiskVolume2\Documents and Settings\valya\Local Settings\Temp\F79C5650-B7A45940-80C79EE0-8F5EC7F8\21e84_xp.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 48
Файл quarantine.zip отправила ранее. Переделала логи.
Последний раз редактировалось Tinka; 03.03.2011 в 13:05.
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\fedor\Application Data\Microsoft\Windows\BrowserApplication.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
выполнила скрипт. Отправила новый файл карантина.
-
Файл в карантине безвредный.
Больше ничего подозрительного не видно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
о как хорошо))) спасибо большое)))
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\fedor\\application data\\microsoft\\windows\\browserapplication.exe - Backdoor.Win32.Agent.bglp ( DrWEB: Trojan.Click1.32473, BitDefender: Backdoor.Generic.590858, AVAST4: Win32:Malware-gen )
-