Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Вирус заменяет профиль (заявка № 125230)

  1. #1
    Junior Member Репутация
    Регистрация
    28.09.2012
    Сообщений
    11
    Вес репутации
    20

    Вирус заменяет профиль

    Вирус создает новые папки в Documents and Settings (Windows XP) и назначает его рабочим профилем.
    В результате чистый рабочий стол и т.д..
    Антивирусные программы нечего не находят.
    После удаления файлов og.dll и ul.dll перестал работать интернет.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) infuzion, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Попробуйте установить User Profile Hive Cleanup Service перезагрузитесь, отпишитесь об эффекте. + Из реестра сделайте экспорт ветки
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
    приложите к следующему сообщению. Вложение virusinfo_cure.zip удалите из темы.

    по аналогии.
    Последний раз редактировалось mrak74; 01.10.2012 в 11:59.

  5. #4
    Junior Member Репутация
    Регистрация
    28.09.2012
    Сообщений
    11
    Вес репутации
    20
    Цитата Сообщение от mrak74 Посмотреть сообщение
    Попробуйте установить User Profile Hive Cleanup Service перезагрузитесь, отпишитесь об эффекте. + Из реестра сделайте экспорт ветки приложите к следующему сообщению. Вложение virusinfo_cure.zip удалите из темы.

    по аналогии.
    Не помогло.
    Хочу добавить. В трее появляется значек подключения по сети. Но сама сеть блокирована.

    Ветку заархивировал т.к. по другому программа не принимала.
    Вложения Вложения

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Сообщение о том что Windows не может зайти под локальным профилем и вход будет осуществен под временным я так понимаю возникает сразу после загрузки Windows ? Если так то я пользуюсь в этом случае чужой идеей http://nowa.cc/showpost.php?p=1353153&postcount=7 У вас в экспортированной ветке реестра это выглядит так
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1220945662-2147101821-725345543-1003.bak]
    information

    Уведомление

    Не забудьте перед манипуляциями с реестром сделать копию изминяемых веток и сохранить данные из профиля восстанавливаемого пользователя на любой другой носитель, диск.



    пофиксите в HijackThis
    Код:
    O20 - AppInit_DLLs: ,
    Последний раз редактировалось mrak74; 01.10.2012 в 15:49.

  7. #6
    Junior Member Репутация
    Регистрация
    28.09.2012
    Сообщений
    11
    Вес репутации
    20
    Цитата Сообщение от mrak74 Посмотреть сообщение
    Сообщение о том что Windows не может зайти под локальным профилем и вход будет осуществен под временным я так понимаю возникает сразу после загрузки Windows ? Если так то я пользуюсь в этом случае чужой идеей http://nowa.cc/showpost.php?p=1353153&postcount=7 У вас в экспортированной ветке реестра это выглядит так
    information

    Уведомление

    Не забудьте перед манипуляциями с реестром сделать копию изминяемых веток и сохранить данные из профиля восстанавливаемого пользователя на любой другой носитель, диск.



    пофиксите в HijackThis
    Код:
    O20 - AppInit_DLLs: ,

    Проверить рекомендацию пока не могу, т.к. исчезли учетные записи. Хотя в свойствах системы профили есть.
    Попробую завтра зайти с LiveCD (под рукой нет) и подправить реестр.

  8. #7
    Junior Member Репутация
    Регистрация
    28.09.2012
    Сообщений
    11
    Вес репутации
    20
    Рекомендация не помогла. Вирус спрятал учетные записи. Создать новую запись не возможно. С помощью LiveCD подправил реестр и удалил папки профиля. При перезагрузке Вирус востановил свой профиль и создал папку нового профиля Temp. От куда загружается вирус понять не могу.
    В system.ini подгружается какой-то файл.
    ; for 16-bit app support
    [drivers]
    wave=mmdrv.dll
    timer=timer.drv
    [mci]
    [driver32]
    [386enh]
    woafont=app866.FON
    EGA80WOA.FON=EGA80866.FON
    EGA40WOA.FON=EGA40866.FON
    CGA80WOA.FON=CGA80866.FON
    CGA40WOA.FON=CGA40866.FON
    [boot-]
    SCRNSAVE.EXE=%SystemRoot%\System32\logon.scr

    При удалении строки вирус при следущей загрузки востанавливает эту загрузку.
    В реестре в ветке WOW содержится несколько разделов boot (boot и boot-)
    Это так и должно?

  9. #8

  10. #9
    Junior Member Репутация
    Регистрация
    28.09.2012
    Сообщений
    11
    Вес репутации
    20
    Отсылаю лог ComboFix
    Вложения Вложения

  11. #10

  12. #11
    Junior Member Репутация
    Регистрация
    28.09.2012
    Сообщений
    11
    Вес репутации
    20
    Ни чего не изменилось.
    После перезагрузки интернет не появился.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Цитата Сообщение от infuzion Посмотреть сообщение
    После удаления файлов og.dll и ul.dll перестал работать интернет.
    Заархивируйте их в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.


    что с профилем ?

    - - - Добавлено - - -

    + http://virusinfo.info/showthread.php?t=10267

  14. #13
    Junior Member Репутация
    Регистрация
    28.09.2012
    Сообщений
    11
    Вес репутации
    20
    Так как я провел очистку CCleaner-ом, файлов больше нет на диске.

  15. #14

  16. #15
    Junior Member Репутация
    Регистрация
    28.09.2012
    Сообщений
    11
    Вес репутации
    20
    Профиль изменен. Идет из папки Temp. Старая рабочая папка Владелец. Новый профиль представляется Владельцем.
    При входе в учетные записи - пусто. Новую создать не возможно. В свойствах системы три профиля
    (Администратор, Владелец, Владелец). Старый в архиве. В трее показывает подключения к сети, но в сеть не войти.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    - Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

    рекомендации из темы по востановлению настроек сети выполняли ?

    + Попробуйте с Live CD создать ещё одну учётную запись и посмотреть будут ли эти проблемы повторяться на ней.

  18. #17
    Junior Member Репутация
    Регистрация
    28.09.2012
    Сообщений
    11
    Вес репутации
    20
    По востоновлению сети выполнил. Результатов нет.
    После перезагрузки вывел сообщение :"Не удалось найти ваш локальный профиль, загрузка будет произведена с временным профилем"
    Как создать учетную запись из LiveCD.
    Вложения Вложения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Цитата Сообщение от infuzion Посмотреть сообщение
    После перезагрузки вывел сообщение :"Не удалось найти ваш локальный профиль, загрузка будет произведена с временным профилем"
    вот вам и ответ наваш вопрос, это не вирус а временный профиль. Попробуйте сделать следующее: возможно, повредились некоторые сектора жесткого диска, для этого зайдите в свойства диска, вкладка «сервис», «выполнить проверку», поставь везде галочки и нажмите «запуск». После этого перезагрузите компьютер, система выполнит сама все необходимые действия.

    - - - Добавлено - - -

    Удалите ComboFix

  20. #19
    Junior Member Репутация
    Регистрация
    28.09.2012
    Сообщений
    11
    Вес репутации
    20
    Спасибо за рекомендации.
    Сделал проверку диска. Старый профиль востановился.
    Осталась только одна проблема -нет сети, хотя в трее показывает подключение.

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    как вариант выполните ещё раз рекомендации по восстановлению сети,просто на этот раз из вашего профиля (а не из временного).

  • Уважаемый(ая) infuzion, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Заменяет .exe на ярлыки
      От Dana в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 16.05.2011, 09:12
    2. неправильный профиль.
      От Славный_Уно в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.12.2009, 13:37
    3. Убился локальный профиль
      От Аксюша в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:21
    4. Не грузится профиль винды
      От neyrohirurg в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 05:45
    5. Профиль сам выгружается
      От Ven в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 27.09.2008, 15:36

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00532 seconds with 17 queries