-
Junior Member
- Вес репутации
- 59
И еще один винлокер со ст. 242.1 УК РФ
При переходе по ссылке из популярного справочника (не он-лайн а на винте) ДубльГИС на сайт одной из томских фирм медоборудования сразу без открытия запрашиваемого сайта компьютер был поражен тем же винлокером что и в теме http://virusinfo.info/showthread.php?t=102734, только номер телефона для "штрафа" другой (интересно как вообще происходит заражение, на компе файерволл Seagate и антивирус NOD). Здесь с ноутбука.
Точно так же как и у товарищей по несчастью DR web Live CD от 03.06.11 ничего не нашел (интересно почему). чтобы сэконмить время сразу загрузился с ERD как советовали товарищу по несчастью просмотрел реестр:
в реестре
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
userinit значение C:\WINDOWS\system32\userinit.exe
shell
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
ветка
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
параметр
AppInit_DLLs
значение ПУСТО
что делать дальше?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) dlenacsm, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с системы, аналогичной заблокированной)
2. Загрузиться с Live CD
3. Переименовать файл C:\documents and settings\all users\application data\22cc6c32.exe, удалить файлы userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache)
4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
5. Исправляете параметр shell, где должно быть указано explorer.exe
Пробуете стартовать в проблемной системе
Если загрузка пройдет успешно, не торопитесь уходить. Вполне возможно, что будут остатки, которые нужно будет добивать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
к сожалению проблематично быстро найти userinit.exe и taskmgr.exe , так как сейчас пишу с ноута на котором 7-ка, а на зараженном компе XP SP3. может подскажете где качнуть эти файлы...
Добавлено через 28 минут
пока ждал ответа попытался переименовать 22СС6С32.exe в bak. и эксплорер ERD и имевшийся в системе и запустившийся FAR сказали что не могут переименовать так как access denied
Последний раз редактировалось dlenacsm; 10.06.2011 в 23:24.
Причина: Добавлено
-
Если заблокирован XP SP3, то вот вам файлики http://ifolder.ru/24080898
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
спасибо за файлики. так как 22CC6C32.exe не переименовывался - я его удалил. система загрузилась. сделал все по правилам кроме подключения к инету. провайдер спит и некому переключить мак адрес с ноута обратно на основной комп. (надо купить рутер ). поэтому делал все на основном компе потом на флэшке перенес на ноут логи и отправляю их.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Лог прилагаю. в момент сканирования работал NOD и что то там находил и удалял. в вашем описании не было требования выключать его при сканировании MBAM.
-
Удалите в МВАМ только указанные строки
Код:
Зараженные файлы:
c:\documents and settings\Admin\local settings\Temp\jar_cache329294665535148919.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache5897586448652715158.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\RECYCLER\S-1-5-18\Dc2.exe (Spyware.Passwords.XGen) -> No action taken.
c:\RECYCLER\S-1-5-18\Dc5.exe (Spyware.Passwords.XGen) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-