Printable View
У меня возникла таже проблема как и здесь:[URL="http://virusinfo.info/showthread.php?t=101452"]Смс-вымогатель - VirusInfo[/URL]
Только файл userinit.exe вроде не изменен (судя по дате).
Подскажите, что делать. Сейчас проверяю систему dr.Web с флешки, но пока без результатов.
Может подскажете, хоть где этого гада искать?
Параметры shell и userinit напишите.
Извините!
А что вы подразумеваете под параметрами? (Размер файла?)
А то я с компом на вы.
Да и систему запустил с флешки под dr.Web control centr for linux
1.скачайте Live CD(на «здоровом» ПК) с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
userinit
параметр
shell
Содержимое этих параметров напишите в своем сообщении.
параметр userinit: C:\WINDOWS\System 32\userinit/exe
параметр shell : azrkrnl. exe
Кстати файл azrkrnl. exe по всей видимости и изменялся, судя по дате файла
[QUOTE='unikds;787177']параметр shell : azrkrnl. exe[/QUOTE]Исправьте значение параметра на [B]exlporer.exe[/B]
Пробуйте старотовать и делать логи
Проделал, как вы сказали, логфайл высылаю.
В принципе все заработало, но на рабочем столе исчезли все иконки, хотя в документах все на месте.
[QUOTE=thyrex;787205]
Пробуйте старотовать и делать логи[/QUOTE]
а логи где?
Начал процесс проверки системы программой Vba32 AntiRootkit. В итоге дважды процесс зависал на проверке авторановских файлов ( чистый экран без панелей запуска и пр., только картинка и курсор мыши).
Сейчас запустил проверку прогой Malwarebytes Antimalware, пока проверка идет.
Параллельно решил проверить автозапуск. Есть программа:c:\documents and settings\admin\wuaucldt.exe
И есть программа: c:\windows\system32\wuaucldt.exe
Я так надеюсь, что первая явно подходит под трояна?
Когда закончится проверка ( если закончится) прогой Malwarebytes Antimalware сразу отошлю логи.
Или я немного опережаю события?
Добавил логи
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdfss (Rootkit.Agent) -> No action taken.
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wuaucldt (Trojan.Agent) -> Value: wuaucldt -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wuaucldt (Trojan.Agent) -> Value: wuaucldt -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Value: Regedit32 -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
Заражённые файлы:
c:\documents and settings\ADMIN\application data\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken.
c:\documents and settings\ADMIN\local settings\Temp\0.016042923630312234.exe (Trojan.FakeAlert.Gen) -> No action taken.
c:\documents and settings\ADMIN\local settings\Temp\0.6063688077539477.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\ADMIN\local settings\temporary internet files\Content.IE5\ZLJHW8SU\bvcpblawfmywyqiv[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\RP30\A0021562.exe (Trojan.Ransom) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\RP30\A0021569.exe (Trojan.Ransom) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\RP30\A0021574.exe (Trojan.Ransom) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\RP30\A0021579.exe (Trojan.Ransom) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\RP30\A0022579.exe (Trojan.Ransom) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\rp30\a0023585.exe (Trojan.RepackedSetup) -> No action taken.
c:\WINDOWS\drzkrnl.exe (Trojan.Ransom) -> No action taken.
c:\WINDOWS\azrkrnl.exe (Spyware.Passwords.XGen) -> No action taken.
c:\userinit.exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\Гость\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
[/CODE]
- Сделайте повторный лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
- Сделайте логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])
Продолжим лечение через пару дней - командировка.
Проделал все операции, как вы сказали, логи отсылаю.
Жду с нетерпением продолжения.
Что с проблемой?
Система запускается, но на рабочем столе, кроме RocketDockа, нет ничего. Правая кнопка мыши на рабочем столе, тоже не работает. Через Total все работает.
[I]P.S. Я понимаю, что стоит голимая сборка от лекс-пекс-фэкса, которую надо снести и установить нормальную винду, но владелец компа (мой товарищ) не хочет заново переустанавливать все игрушки для киндера. Если есть возможность подлечить "это", то помогите пожалуйста.[/I]
Ничего вирусоподобного в логах не наблюдается