Trojan.Okuks.based

Printable View

19.01.2009, 18:17
Владимирович

Trojan.Okuks.based

Праздничного времени суток уважаемые ! В очередной раз к вам обращаюсь в надежде на помощь :rolleyes:А началось все банально просто - буквально перед новогодними праздниками окно контрол-альт-дел перестало работать в нормальном режиме (вернее показывало только вкладку приложений, войти в вкладку процессы невозможно из-за ее отсутствия). ПК на работе - Симантек ниче не нашел, Веб лицензионный показал название вируса как и гласит тема (сидел как и ему полагается в систем32 в названии baselan.dll). Жаль что про AVZ и этот сайт вспомнил в последнюю очередь .....:sad:Пришел админ чета в реестре покопался и сказал что кул и норма, мол работай дальше (было это в прошлую пятницу). Сегодня утром ПК включаю и даже не доходя до ввода пользвателя - перезагружается, и так все время. Админ у нас редко бывает = подсказать больше не кому. Доктора что можно сделать с данной болячкой ? И как воопще запустить винду! Спасибо :xmas:
З.ы. в безопасном режиме тоже не запускается. Система XP SP1 ,при себе имеется загрузочный диск с SP2 + всякие там проги связаные с установкой.
19.01.2009, 19:05
PavelA

userinit.exe попытайся заменить с дистрибутива. Плюс надо проверить ключик

смотреть, загрузившись с LiveCD и подгрузивши удаленный реестр
вот ключ:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager\SubSystems

У меня:
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
22.01.2009, 15:19
Владимирович

Вложений: 3

Спасибо что откликнулись :xmas:Значить все закончилось тем - чем не должно было закончиться .... Пришел админ (который редко появляется), забрал винт, поставил туда чистый userinit.exe = ничего не помогло ! Правда ключи реестра никто не правил (наверное не было времени у него :mad:). Итог - поставил новую Ось , теперя у меня их две. Первая мертвая, зато вторая живая - вот и высылаю логи на проверку новой Оси на предмет поиска всевозможных черных дыр. Еще вот такая просьба - обьясните для того кто с "бронепоезда" как правильно править реестр , и можна ли воопще реанимировать первую мертвую ось находясь в рабочей оси, а то там на рабочем столе остались нужные файлы... И воопще просто самому оч хочется востановить ее на определенное время , естественна с вашей помощью.:rolleyes:
22.01.2009, 19:16
Владимирович

[QUOTE=PavelA;336489]userinit.exe попытайся заменить с дистрибутива. Плюс надо проверить ключик
смотреть, загрузившись с LiveCD и подгрузивши удаленный реестр
вот ключ:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager\SubSystems

У меня:
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16[/QUOTE] ключ посмотрел и поправил - как и полагается вместо basesrv там сидело [COLOR="Blue"]baselan32[/COLOR]. Ранее этот файл был случайно переименован в другое название и в последствии убит антивирем. Вопрос следующий - файл userinit подойдет любой неважно какого пака была Ось? Есть небольшие сдвиги - после правки реестра винда перестала перегружатся - но до приглашения пользователя так и не доходит, просто темный экран даже при сейвмоде.
З.ы. случайно сохранился на компе файл virusinfo_files.zip датировкой дня када это все произошло.:unsure:

[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]

Уважаемые! в ветке HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SubSystems сидело baselan32, такое же падло сидит и в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\SubSystems - его надо править ?:santa:
22.01.2009, 19:28
PavelA

Да, надо править. Это для другого пользователя.
и еще CurrentControlSet.
23.01.2009, 11:14
Владимирович

ControlSet002 поправил ! а вот [COLOR="Red"]CurrentControlSet[/COLOR] не могу найти такую ветку. Захожу значит так: работая под новой Ос подгружаю ветку с каталогом старой винды у меня C:\WINDOWS\system32\config добавляю system без расширения . У меня только показывает ControlSet001 и ControlSet002 + 6 каталогов . Возможно либо я что-то не так делаю либо такой ветки как [COLOR="#ff0000"]CurrentControlSet [/COLOR]у меня не присутствует.
Хотя на новой Оси она имеется. Спасибо , буду ждать ваших советов с нетерпением . Реестр забавная штуковина ...
23.01.2009, 11:36
PavelA

basesrv.dll тоже лучше заменить из хорошей винды.
про вот это я ошибся - CurrentControlSet.
23.01.2009, 13:21
Владимирович

basesrv.dll ну и на всяк случай userinit.exe тоже заменил из чистой винды. Ничего не помогает , так и не приглашает до ввода пользователя - сначала идет окно загрузки винды, опрос клавиатуры а потом темный экран ..... Видать чета еще снеслось с системный файлов в ходе корявого удаления кривыми ручками! Все таки жду советов Великих Докторов . Может помогут логи сканирования AVZ того злонесчастного дня ? правда вес у них 1,15 Мб .Спасибо!
23.01.2009, 13:23
PavelA

Если это действительно логи, присылай.
Имя файлов у них какое? по размеру больно на карантин похоже
virusinfo_cure.zip грузить по верхней ссылке [url]http://virusinfo.info/upload_virus.php?tid=37749[/url]
23.01.2009, 13:39
Владимирович

Название virusinfo_files название компа.zip, внутри папка с названием даты , а в той папке файлы с названием avz00001.ini и avz00001.dta только конечные цыфиры меняются. Это оно или нет ? Если да - то присылать ?
23.01.2009, 13:43
PavelA

Это карантин. Загружай через ссылку.
23.01.2009, 13:57
Владимирович

Загрузил карантин ! Правда не понял как на тот зип ставить пароль virus ;) Надеемся что хоть это поможет ...
23.01.2009, 14:45
PavelA

Из интересного в карантине только baselan32.dll
23.01.2009, 15:15
Владимирович

[COLOR="Red"]PavelA[/COLOR] большое человеческое спасибо ! Так как ПК уже работает и нужные файлы со старой Ос у меня уже имеются - будем считать тему закрытой ! :rolleyes:Думаю если бы я не поспешил с удалением своими корявыми рученками и вовремя к вам обратился то результат был бы совсем другой :wink_3:Осталось снести старую Ось ...
З.ы. зато теперь хоть буду знать что такое реестр .
Спасибо сайту !
23.01.2009, 15:17
PavelA

AVZ 4.30 лечит эту гадость правильно, так что м.б. там старая версия была или базы не обновлены.
22.02.2009, 10:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{f6e941a4-1b6f-4c4f-ba4b-334a3dbc4a59}\\rp440\\a0050791.dll - [B]Trojan.Win32.SubSys.ce[/B] (DrWEB: Trojan.Okuks.based)[*] c:\\windows\\system32\\baselan32.dll - [B]Trojan.Win32.SubSys.ce[/B][/LIST][/LIST]