Printable View
Вылез винлокер.
Система вин 7.
Загрузился в XP Пытаясь найти заразу, но доступа Documents and Settings и другим каталогам нет из-за прав.
Как можно в этом случае поступить?
Хотелось бы вылечить систему именно с XP. Т.К мало ли что начнет делать зловред при попытках удаления (рекурсивное удаление и т.п)
Уважаемый(ая) [B]penkovsky[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Туплю..Доступ к Documents and Settings и не нужен то по сути.
Доступ к USers и папкам выше имеется.
Думаю что именно там сидит (в темпах скорее всего)
Вобщем, подскажите как найти с XP не загружаясь в вин 7
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
И еще вопрос, можно ли с помощью xp'шного regedit'a загрузить куст реестра вин 7 и проводить манипуляции с реестром win 7 ?
[url]http://virus-free.ru/ydalenie-sms-virusa-vymogatela-s-livecd/[/url] Вот по этой инструкции к примеру
Скачайте [url=http://dsrt.dyndns.org/files/uvs_v374.zip]Universal Virus Sniffer (UVS)[/url] или с [url=http://depositfiles.com/folders/A5PK4YRKA]зеркала[/url]. Распакуйте архив в отдельную папку на рабочий стол.
[LIST=1][*]открывшимся окне выберите пункт [b]"Выбрать каталог Windows"[/b].[*]Укажите путь к каталогу с установленной Windows (например C:\Windows\)[*]Выберите пункт [b]"Запустить под текущим пользователем"[/b].[*]Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". [*]Программа выдаст запрос на установку каталога цифровых подписей, нажмите "Да" и в следующем окне "Ок".[*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.[/LIST]
пишет нет доступ к System :(
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Так как можно отредактировать правильно реестр семерки сидя на Xp ?
[size="1"][color="#666686"][B][I]Добавлено через 1 час 8 минут[/I][/B][/color][/size]
Итак, нашел я зловреда вот тут E:\Users\ME\AppData\Roaming
Под именем 36.exe
Запустил файлик на вирталке под XP (оказалось точно он).
В безопасном режиме таже картина (под виртуалкой)
[URL=http://imageshack.us/photo/my-images/824/scri.jpg/][IMG]http://img824.imageshack.us/img824/5842/scri.jpg[/IMG][/URL]
Хотелось бы сначала убить на виртуалке его, а потом уже набравшись опыта на основной системе)
[quote="penkovsky;882380"]Итак, нашел я зловреда вот тут E:\Users\ME\AppData\Roaming
Под именем 36.exe[/quote]
заархивируйте в zip архив с паролем virus и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
Там же был обнаружен netprotocol.exe
Я так понимаю что еще и бэкдор засел ... ( [url]http://news.drweb.com/show/?i=1970&c=23[/url] )
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Спасибо за внимание к моей теме, заархивировал оба файла, карантин приложил.
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
И еще один нашелся, LatestDLMgr.exe в ..AppData\Roaming\OpenCandy\OpenCandy_2D3B8200ECEA4E74B0B1B79358100E5D
[size="1"][color="#666686"][B][I]Добавлено через 8 часов 20 минут[/I][/B][/color][/size]
Есть кто живой? :(
Вы файлы удалили? Система загрузилась нормально?
если не загрузилась, то попробуйте скачать свежий CureIt и просканировать им.
После сделайте логи по правилам, чтобы убедиться, что не осталось заразы в системе.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\netprotocol.exe - [B]Trojan-Dropper.Win32.Dapato.aunp[/B] ( DrWEB: Trojan.Inject1.1410, BitDefender: Gen:Variant.Barys.2666, NOD32: Win32/SpyVoltar.A trojan, AVAST4: Win32:IRCBot-EOX [Trj] )[*] \\36.exe - [B]Trojan-Ransom.Win32.PornoAsset.fbq[/B] ( DrWEB: BackDoor.Butirat.60, BitDefender: Trojan.Generic.KDV.593123, NOD32: Win32/LockScreen.AKS trojan, AVAST4: Win32:Buterat-KH [Trj] )[/LIST][/LIST]