trojan.winlock.2741

Printable View

10.01.2011, 19:56
IIIuxTa

trojan.winlock.2741

Привет, у меня такая проблема. Появился баннер с предложением пополнить некий счёт на 300 рублей, на сайте д-р Веб нашёл похожий, но коды не помогли, почитал здесь форум в подобных ситуациях просили сделать
1.скачайте [B]Live CD[/B] с возможностью поиска и исправления в реестре. Например, [B]ERD Commander[/B].
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - [B]erdregedit[/B]
4.Посмотрите в реестре:
[B]ветка[/B]

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[B]параметр[/B]
Userinit
C:\WINDOWS\system32\userinit.exe,
[B]параметр[/B]
Shell
C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5\FWUTR8GT\about[1].exe
[B]ветка[/B]

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
[B]параметр[/B]
[FONT=monospace]AppInit_DLLs[/FONT]
C:\WINDOWS\system32\vksaver.dll

Вот как-то так
10.01.2011, 21:01
polword

Правильные значения для этих параметров:
[B]Shell [/B]= Explorer.exe
[B]Userinit[/B] = C:\Windows\System32\userinit.exe,

исправьте.

параметр
[B]AppInit_DLLs[/B] не исправляйте

Загрузитесь в нормальном режиме
Сделайте комплект логов по правилам
11.01.2011, 02:26
IIIuxTa

Логи
11.01.2011, 06:50
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5\FWUTR8GT\about[1].exe','');
DeleteFile('C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5\FWUTR8GT\about[1].exe');
DeleteFileMask('C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

В остальном подозрительного нет.

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.4[/URL] или удалите старый.
11.01.2011, 17:26
IIIuxTa

Тут произошло непредвиденное - после того как выложил логи решил запустить Оперу (основной браузер) и после этого опять вылез баннер и повторение уже проделанных раньше действий не помогает, параметр Shell изменяется. Загружал инструменты и читал правила [url]http://virusinfo.info[/url] через Мозилу, а Оперу запустил только после как мне показалось исцеления. Безопасный режим не работает.
Поэтому не могу сделать действия из предыдущего поста.
11.01.2011, 19:00
polword

Загрузитесь с [B]ERD Commander[/B] диска.
поищите файл C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5\FWUTR8GT\about[1].exe - удалите его + удалите все из папки C:\Documents and Settings\llluxta\Local Settings\Temporary Internet Files\Content.IE5
измените параметр Shell и попробуйте загрузиться и сделать логи
11.01.2011, 20:03
IIIuxTa

Файл и содержимое папки удалил, исправил Shell, при загрузке баннера нет, прогружаются только обои без меню Пуск и иконок, курсор есть, двигается, запускается диспетчер задач
11.01.2011, 21:30
polword

через диспетчер задач запустите AVZ И выполните скрипт
[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(5);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
11.01.2011, 21:52
IIIuxTa

Новые логи
11.01.2011, 22:00
polword

что с проблемой?
11.01.2011, 22:12
IIIuxTa

Загрузилось всё нормально, проблем не наблюдается.
Огромное спасибо за столь качественную и быструю помощь
11.01.2011, 22:43
polword

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.4[/URL] или удалите старый.