Printable View
Не удаеться определить к какой модификации относиться и методы лечения. Пробовал разные коды для разблокировки опубликованные на форуме, не помогло. Загружался с Live CD, просматривал содержимое папок, нет таких файлов о которых здесь так же писали. Как определить что это и как в дальнейшем с ним бороться? Возможно немного неудачный снимок.
запустить надо avz на заражённой системе и сделать логи, скопируем экземпляр- будет лечение и возможность предотвращения не только для вас, но и для остальных.
1. На клавиатуре необходимо нажать сочетание клавиш Windows+U, вызывая окно Мастера специальных возможностей:
[img]http://images.kaspersky.com/ru/pictures/vlweblog/207758826.jpg[/img]
2. Из указанного меню может быть запущена Экранная лупа, активация которой сопровождается пояснительным текстом:
[img]http://images.kaspersky.com/ru/pictures/vlweblog/207758827.jpg[/img]
Нажав на ссылку "Веб-узел Майкрософт", пользователь получает доступ к обозревателю Интернета, а, следовательно, может загружать и запускать антивирусные инструменты - AVZ, AVPTool, CureIt и т.д.
В том то и дело, что и это пробовал, не помогает. Не удается добраться до рабочего стола или куда бы еще... Блокировка полная. Что еще можно сделать?
А вот это пробовали?
Загрузитесь с виндовского LiveCD или же подключите жесткий диск с больной системой к другому компьютеру. Но ничего не запускайте на подключенном диске!
Проверьте наличие файлика userinit.exe в папке windows\system32.
Далее
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
не забудьте выгрузить куст
Если поможет, проследуете на выполнение правил [url]http://virusinfo.info/showthread.php?t=1235[/url]
Загрузился с Live CD. Перешел windows\system32 файл userinit.exe присутствует. Запустил regedit загрузил куст в этом разделе в параметре Userinit c:\windows\help\hlp.exe Что нужно дальше сделать? Удалить этот параметр? И попытаться загрузиться уже с зараженной системы?
c:\windows\help\hlp.exe - не просто удалить, а куда-нибудь скопировать чтобы потом с нами поделиться.
Читаем внимательно
[QUOTE='thyrex;435784']параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)[/QUOTE]
т.е. нужно вместо c:\windows\help\hlp.exe написать C:\WINDOWS\system32\userinit.exe,
В приветствии выбираю пользователя с правами администратора, рабочий стол моргает на мнговенье и в строке выбора пользователя появляется "завершение сеанса" При нажатии windows+U появляется выше указаное окно на фоне приветствия и выбора пользователей без сопровождения пояснительного текста. Так и не получается попасть на рабочий стол и запустить что либо. Что еще можно сделать?
[B]voleka[/B], Вы точно поправили все, как в предыдущем сообщении №7?
Простите... каюсь... поторопился и сделал не внимательно... имя файла изменил на правильное, а пути остались старые... c:\windows\help\userinit.exe, сейчас установил правильно c:\windows\system32\userinit.exe, попал на рабочий стол... запустил AVZ, сейчас сканирует и готовит отчет.
c:\windows\help\hlp.exe сохранили? иначе всё пойдёт насмарку...
Да, конечно сохранил. Сделал диагностику из правил п1. перезагрузил компьютер, иеперь не удалось попасть на рабочий стол... пришлось воспользоваться методом из поста №2 запустить AVZ еще раз и выполнить скрипт сбора информации для раздела "Помогите!" но логи отличаються и то что находиться в карантине и папке инфецированые и то что приготовлено в архиве virus.zip Что дальше сделать?
virus.zip грузить по [url]http://virusinfo.info/showthread.php?t=50436[/url]
Логи любые сюда в тему.
[QUOTE='PavelA;435940']virus.zip грузить по [url]http://virusinfo.info/showthread.php?t=50436[/url][/QUOTE]Получили?
[QUOTE='PavelA;435940']Логи любые сюда в тему. [/QUOTE]
А как сюда в тему логи показать из папки LOG?
[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]
Результат загрузки
Файл сохранён как 090722_172312_virus_4a6712c0eee48.zip
Размер файла 49816
MD5 c709390f90db387441a37f1e0bd05a33
Файл закачан, спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
hlp.exe в архиве нет, я его удалил из папки windows\help и сохранил в другом разделе винта. Как мне его Вам прислать для иследования?
Логи Зазиповать и вложить сюда в сообщение.
Файл, из-за которого все началось, найти через AVZ, добавить в карантин и прислать через красную ссылку
[QUOTE='PavelA;435970']Файл, из-за которого все началось, найти через AVZ, добавить в карантин и прислать через красную ссылку [/QUOTE]
Не нашел как через AVZ добавить файл, просто добавил его в архив.
Результат загрузки
Файл сохранён как 090722_180725_virus_4a671d1d7d8d0.zip
Размер файла 84813
MD5 f40108f83532a0661c5a176407d92e78
Файл закачан, спасибо!
Вот папка лог.
Восстановление системы: включено -- надо отключить.
В дальнейшем присылай логи раздельно. Не нужно их в один файл запихивать.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Windows\Help\hlp.exe','');
QuarantineFile('C:\WINDOWS\system32\mlhost.exe','');
QuarantineFile('C:\WINDOWS\mkchik.exe','');
DeleteFile('C:\Windows\Help\hlp.exe');
DeleteFile('C:\WINDOWS\system32\mlhost.exe');
DeleteFile('C:\WINDOWS\mkchik.exe');
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать сюда virusinfo_syscheck.zip и virusinfo_syscure.zip
Карантин загрузить по Правилам Приложение 3
[QUOTE]Восстановление системы: включено -- надо отключить.[/QUOTE]
В какой момент можно будет включить эту функцию?
[QUOTE]В дальнейшем присылай логи раздельно. Не нужно их в один файл запихивать.[/QUOTE]
Понял, в дальнейшем так и буду делать.
[QUOTE]Прислать сюда virusinfo_syscheck.zip и virusinfo_syscure.zip[/QUOTE]
Сделано
[QUOTE]Карантин загрузить по Правилам Приложение 3 [/QUOTE]
Результат загрузки
Файл сохранён как 090723_091904_virus_4a67f2c8abfc3.zip
Размер файла 111511
MD5 a2ec6171d68ca89e5f6e76e102fa8e46
Файл закачан, спасибо!
Вот что было:
'C:\Windows\Help\hlp.exe' - Trojan-Ransom.Win32.SMSer.dy
C:\WINDOWS\mkchik.exe - Зловред Trojan-Spy.Win32.Agent.axky
C:\WINDOWS\system32\mlhost.exe - Зловред Trojan-Clicker.Win32.Delf.cly
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Логи надо было заново сделать. ;)
извини, что не совсем точно написал.