-
Junior Member
- Вес репутации
- 52
помогите с вирусом
У меня возникла таже проблема как и здесь:Смс-вымогатель - VirusInfo
Только файл userinit.exe вроде не изменен (судя по дате).
Подскажите, что делать. Сейчас проверяю систему dr.Web с флешки, но пока без результатов.
Может подскажете, хоть где этого гада искать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Параметры shell и userinit напишите.
-
-
Junior Member
- Вес репутации
- 52
Извините!
А что вы подразумеваете под параметрами? (Размер файла?)
А то я с компом на вы.
Да и систему запустил с флешки под dr.Web control centr for linux
Последний раз редактировалось unikds; 02.05.2011 в 21:26.
-
1.скачайте Live CD(на «здоровом» ПК) с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
userinit
параметр
shell
Содержимое этих параметров напишите в своем сообщении.
-
-
Junior Member
- Вес репутации
- 52
параметр userinit: C:\WINDOWS\System 32\userinit/exe
параметр shell : azrkrnl. exe
Кстати файл azrkrnl. exe по всей видимости и изменялся, судя по дате файла
-
Сообщение от
unikds
параметр shell : azrkrnl. exe
Исправьте значение параметра на exlporer.exe
Пробуйте старотовать и делать логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Проделал, как вы сказали, логфайл высылаю.
В принципе все заработало, но на рабочем столе исчезли все иконки, хотя в документах все на месте.
-
Сообщение от
thyrex
Пробуйте старотовать и делать логи
а логи где?
-
-
Junior Member
- Вес репутации
- 52
Начал процесс проверки системы программой Vba32 AntiRootkit. В итоге дважды процесс зависал на проверке авторановских файлов ( чистый экран без панелей запуска и пр., только картинка и курсор мыши).
Сейчас запустил проверку прогой Malwarebytes Antimalware, пока проверка идет.
Параллельно решил проверить автозапуск. Есть программа:c:\documents and settings\admin\wuaucldt.exe
И есть программа: c:\windows\system32\wuaucldt.exe
Я так надеюсь, что первая явно подходит под трояна?
Когда закончится проверка ( если закончится) прогой Malwarebytes Antimalware сразу отошлю логи.
Или я немного опережаю события?
Добавил логи
Последний раз редактировалось unikds; 03.05.2011 в 22:54.
Причина: Добавлено
-
- удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdfss (Rootkit.Agent) -> No action taken.
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wuaucldt (Trojan.Agent) -> Value: wuaucldt -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wuaucldt (Trojan.Agent) -> Value: wuaucldt -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Value: Regedit32 -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
Заражённые файлы:
c:\documents and settings\ADMIN\application data\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken.
c:\documents and settings\ADMIN\local settings\Temp\0.016042923630312234.exe (Trojan.FakeAlert.Gen) -> No action taken.
c:\documents and settings\ADMIN\local settings\Temp\0.6063688077539477.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\ADMIN\local settings\temporary internet files\Content.IE5\ZLJHW8SU\bvcpblawfmywyqiv[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\RP30\A0021562.exe (Trojan.Ransom) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\RP30\A0021569.exe (Trojan.Ransom) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\RP30\A0021574.exe (Trojan.Ransom) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\RP30\A0021579.exe (Trojan.Ransom) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\RP30\A0022579.exe (Trojan.Ransom) -> No action taken.
c:\system volume information\_restore{debbeb53-332b-4898-a6a2-c2ff1f94ed91}\rp30\a0023585.exe (Trojan.RepackedSetup) -> No action taken.
c:\WINDOWS\drzkrnl.exe (Trojan.Ransom) -> No action taken.
c:\WINDOWS\azrkrnl.exe (Spyware.Passwords.XGen) -> No action taken.
c:\userinit.exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\Гость\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
- Сделайте повторный лог MBAM
- Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Продолжим лечение через пару дней - командировка.
-
Junior Member
- Вес репутации
- 52
Проделал все операции, как вы сказали, логи отсылаю.
Жду с нетерпением продолжения.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Система запускается, но на рабочем столе, кроме RocketDockа, нет ничего. Правая кнопка мыши на рабочем столе, тоже не работает. Через Total все работает.
P.S. Я понимаю, что стоит голимая сборка от лекс-пекс-фэкса, которую надо снести и установить нормальную винду, но владелец компа (мой товарищ) не хочет заново переустанавливать все игрушки для киндера. Если есть возможность подлечить "это", то помогите пожалуйста.
-
Ничего вирусоподобного в логах не наблюдается
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-