Определить и выличить

Не удаеться определить к какой модификации относиться и методы лечения. Пробовал разные коды для разблокировки опубликованные на форуме, не помогло. Загружался с Live CD, просматривал содержимое папок, нет таких файлов о которых здесь так же писали. Как определить что это и как в дальнейшем с ним бороться? Возможно немного неудачный снимок.

запустить надо avz на заражённой системе и сделать логи, скопируем экземпляр- будет лечение и возможность предотвращения не только для вас, но и для остальных.

1. На клавиатуре необходимо нажать сочетание клавиш Windows+U, вызывая окно Мастера специальных возможностей:
[img]http://images.kaspersky.com/ru/pictures/vlweblog/207758826.jpg[/img]


2. Из указанного меню может быть запущена Экранная лупа, активация которой сопровождается пояснительным текстом:
[img]http://images.kaspersky.com/ru/pictures/vlweblog/207758827.jpg[/img]



Нажав на ссылку "Веб-узел Майкрософт", пользователь получает доступ к обозревателю Интернета, а, следовательно, может загружать и запускать антивирусные инструменты - AVZ, AVPTool, CureIt и т.д.

В том то и дело, что и это пробовал, не помогает. Не удается добраться до рабочего стола или куда бы еще... Блокировка полная. Что еще можно сделать?

А вот это пробовали?

Загрузитесь с виндовского LiveCD или же подключите жесткий диск с больной системой к другому компьютеру. Но ничего не запускайте на подключенном диске!
Проверьте наличие файлика userinit.exe в папке windows\system32.

Далее
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
не забудьте выгрузить куст

Если поможет, проследуете на выполнение правил [url]http://virusinfo.info/showthread.php?t=1235[/url]

Загрузился с Live CD. Перешел windows\system32 файл userinit.exe присутствует. Запустил regedit загрузил куст в этом разделе в параметре Userinit c:\windows\help\hlp.exe Что нужно дальше сделать? Удалить этот параметр? И попытаться загрузиться уже с зараженной системы?

c:\windows\help\hlp.exe - не просто удалить, а куда-нибудь скопировать чтобы потом с нами поделиться.

Читаем внимательно
[QUOTE='thyrex;435784']параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)[/QUOTE]
т.е. нужно вместо c:\windows\help\hlp.exe написать C:\WINDOWS\system32\userinit.exe,

В приветствии выбираю пользователя с правами администратора, рабочий стол моргает на мнговенье и в строке выбора пользователя появляется "завершение сеанса" При нажатии windows+U появляется выше указаное окно на фоне приветствия и выбора пользователей без сопровождения пояснительного текста. Так и не получается попасть на рабочий стол и запустить что либо. Что еще можно сделать?

[B]voleka[/B], Вы точно поправили все, как в предыдущем сообщении №7?

Простите... каюсь... поторопился и сделал не внимательно... имя файла изменил на правильное, а пути остались старые... c:\windows\help\userinit.exe, сейчас установил правильно c:\windows\system32\userinit.exe, попал на рабочий стол... запустил AVZ, сейчас сканирует и готовит отчет.

c:\windows\help\hlp.exe сохранили? иначе всё пойдёт насмарку...

Да, конечно сохранил. Сделал диагностику из правил п1. перезагрузил компьютер, иеперь не удалось попасть на рабочий стол... пришлось воспользоваться методом из поста №2 запустить AVZ еще раз и выполнить скрипт сбора информации для раздела "Помогите!" но логи отличаються и то что находиться в карантине и папке инфецированые и то что приготовлено в архиве virus.zip Что дальше сделать?

virus.zip грузить по [url]http://virusinfo.info/showthread.php?t=50436[/url]

Логи любые сюда в тему.

[QUOTE='PavelA;435940']virus.zip грузить по [url]http://virusinfo.info/showthread.php?t=50436[/url][/QUOTE]Получили?

[QUOTE='PavelA;435940']Логи любые сюда в тему. [/QUOTE]
А как сюда в тему логи показать из папки LOG?

[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]

Результат загрузки
Файл сохранён как 090722_172312_virus_4a6712c0eee48.zip
Размер файла 49816
MD5 c709390f90db387441a37f1e0bd05a33

Файл закачан, спасибо!

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

hlp.exe в архиве нет, я его удалил из папки windows\help и сохранил в другом разделе винта. Как мне его Вам прислать для иследования?

Логи Зазиповать и вложить сюда в сообщение.

Файл, из-за которого все началось, найти через AVZ, добавить в карантин и прислать через красную ссылку

[QUOTE='PavelA;435970']Файл, из-за которого все началось, найти через AVZ, добавить в карантин и прислать через красную ссылку [/QUOTE]
Не нашел как через AVZ добавить файл, просто добавил его в архив.
Результат загрузки
Файл сохранён как 090722_180725_virus_4a671d1d7d8d0.zip
Размер файла 84813
MD5 f40108f83532a0661c5a176407d92e78

Файл закачан, спасибо!

Вот папка лог.

Восстановление системы: включено -- надо отключить.
В дальнейшем присылай логи раздельно. Не нужно их в один файл запихивать.

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Windows\Help\hlp.exe','');
QuarantineFile('C:\WINDOWS\system32\mlhost.exe','');
QuarantineFile('C:\WINDOWS\mkchik.exe','');
DeleteFile('C:\Windows\Help\hlp.exe');
DeleteFile('C:\WINDOWS\system32\mlhost.exe');
DeleteFile('C:\WINDOWS\mkchik.exe');
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать сюда virusinfo_syscheck.zip и virusinfo_syscure.zip
Карантин загрузить по Правилам Приложение 3

[QUOTE]Восстановление системы: включено -- надо отключить.[/QUOTE]
В какой момент можно будет включить эту функцию?
[QUOTE]В дальнейшем присылай логи раздельно. Не нужно их в один файл запихивать.[/QUOTE]
Понял, в дальнейшем так и буду делать.
[QUOTE]Прислать сюда virusinfo_syscheck.zip и virusinfo_syscure.zip[/QUOTE]
Сделано
[QUOTE]Карантин загрузить по Правилам Приложение 3 [/QUOTE]
Результат загрузки
Файл сохранён как 090723_091904_virus_4a67f2c8abfc3.zip
Размер файла 111511
MD5 a2ec6171d68ca89e5f6e76e102fa8e46

Файл закачан, спасибо!

Вот что было:
'C:\Windows\Help\hlp.exe' - Trojan-Ransom.Win32.SMSer.dy
C:\WINDOWS\mkchik.exe - Зловред Trojan-Spy.Win32.Agent.axky
C:\WINDOWS\system32\mlhost.exe - Зловред Trojan-Clicker.Win32.Delf.cly

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Логи надо было заново сделать. ;)
извини, что не совсем точно написал.

[QUOTE='voleka;436348']Цитата:
Восстановление системы: включено -- надо отключить.

В какой момент можно будет включить эту функцию?[/QUOTE]
Что мне делать теперь дальше?

Не буду плодить темы а напишу здесь же(если такое можно), есть еще один ящик с такой же проблемой...
[URL="http://news.drweb.com/show/?i=304&c=9&p=0"]http://news.drweb.com/show/?i=304&c=9&p=0[/URL] Вот здесь определил что Trojan.Winlock.160 Ввел код разблокировки который был выдан на странице... разблокировался... что теперь с этим ящиком делать?

Тема нужна новая для другого компьютера.

[QUOTE='voleka;436360']Цитата:
Сообщение от voleka
Цитата:
Восстановление системы: включено -- надо отключить.

В какой момент можно будет включить эту функцию?

Что мне делать теперь дальше?[/QUOTE]

[QUOTE='PavelA;436371']Тема нужна новая для другого компьютера. [/QUOTE]
Хорошо сделаю новую тему...

Восстановление системы можно будет включить после окончания лечения.

Сейчас загружается рабочий стол и вроде проги тоже работают... На каком этапе заканчивается лечение и как определить что лечение закончено?

Сделай последний комплект всех логов AVZ + HijackThis.

[QUOTE]Сделай последний комплект всех логов AVZ + HijackThis. [/QUOTE]
Готово.

Все вылечено. Можно включать "Восст. системы".
Последние заплантки от МС не забудьте установить.

Спасибо огромное!!! Ну думаю что тему можно закрыть...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\help\hlp.exe - [B]Trojan-Ransom.Win32.SMSer.gz[/B] ( DrWEB: Trojan.Packed.541, BitDefender: Gen:Trojan.Heur.Hype.20748B8B8B )[*] c:\windows\mkchik.exe - [B]Trojan-Spy.Win32.Agent.axky[/B] ( DrWEB: Trojan.PWS.Ftpharv.6, BitDefender: Gen:Trojan.Heur.30A45B7D7D )[*] c:\windows\system32\mlhost.exe - [B]Trojan-Clicker.Win32.Delf.cly[/B] ( DrWEB: Trojan.Click.26134 )[*] \2009-07-22\hlp.exe - [B]Trojan-Ransom.Win32.SMSer.gz[/B] ( DrWEB: Trojan.Packed.541, BitDefender: Gen:Trojan.Heur.Hype.20748B8B8B )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]