trojan.winlock

Printable View

25.03.2011, 19:02
vlad_1976

trojan.winlock

Здравствуйте, уважаемые.
не могу справиться с этим вирусом. использовал все имеющиеся средства. пробовал он-лайн сервисы, пробовал вызвать экранную лупу, загрузил образ миниXP (в котором сейчас и нахожусь) и запустил в нем cureit. пытался найти вручную, ничего не помогает. Вы моя последняя надежда!!!
Я не знаю помогут ли скрипты, потому как загружен миниобраз, но на всякий случай я их сделаю. hijackthis запустить не могу по причине, которую описал выше.
25.03.2011, 19:03
Acidorum

Здравствуйте.
Давайте попробуем так:
1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
Должен появиться проводник.
2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
[CODE]<диск с заблокированой ОС>:\WINDOWS\System32\config[/CODE]
Затем сообщите :
В ключе
[CODE]HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]
значение параметра
[CODE]Userinit[/CODE]
и значение параметра
[CODE]Shell[/CODE]
25.03.2011, 19:26
vlad_1976

значение параметра Userinit C:\windows\system32\drivers\system32.exe
значение параметра shell Explorer.exe
25.03.2011, 22:21
Acidorum

Пропишите следующее значение параметру Userinit:
[CODE]C:\WINDOWS\system32\userinit.exe,[/CODE]
Загрузитесь в нормальном режиме и сделайте логи по правилам.
28.03.2011, 08:59
vlad_1976

Загрузился в нормальном режиме, появился рабочий стол с ярлыками, но банер остался и все заблокировано.
Снова загрузил LiveCD и опять в Userinit тот же параметр, хотя куст сохранял.
28.03.2011, 09:57
vlad_1976

удалил параметр в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run С:\Windows\System32\drivers\system32.exe Загрузился в обычном режиме, банер пропал. Вот логи.
28.03.2011, 15:37
vlad_1976

Доброго времени суток, уважаемые. Напоминаю о себе.
28.03.2011, 15:44
Bratez

В логах ничего плохого.
28.03.2011, 16:07
vlad_1976

а что делать с файлом С:\Windows\System32\drivers\system32.exe?
28.03.2011, 16:13
Bratez

Запакуйте в zip-архив с паролем [I]virus[/I] и пришлите по ссылке для карантина.
28.03.2011, 16:19
vlad_1976

Отправил
Файл сохранён как 110328_121841_System32_4d907ca10ed91.zip
Размер файла 64071
MD5 afece3bfd7c0717877550ade4230d9cc
28.03.2011, 17:31
Bratez

У себя этот файл удалите.

Какие-то проблемы остались?
28.03.2011, 17:34
vlad_1976

проблем никаких. Спасибо.
29.03.2011, 17:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\system32.exe - [B]Trojan-Ransom.Win32.PornoBlocker.puf[/B] ( DrWEB: Trojan.Winlock.3207, BitDefender: Trojan.Generic.5682746, AVAST4: Win32:Spyeye-HQ [Trj] )[/LIST][/LIST]