Показано с 1 по 16 из 16.

Trojan.Okuks.based (заявка № 37749)

  1. #1
    Junior Member Репутация
    Регистрация
    18.12.2006
    Сообщений
    13
    Вес репутации
    41

    Exclamation Trojan.Okuks.based

    Праздничного времени суток уважаемые ! В очередной раз к вам обращаюсь в надежде на помощь А началось все банально просто - буквально перед новогодними праздниками окно контрол-альт-дел перестало работать в нормальном режиме (вернее показывало только вкладку приложений, войти в вкладку процессы невозможно из-за ее отсутствия). ПК на работе - Симантек ниче не нашел, Веб лицензионный показал название вируса как и гласит тема (сидел как и ему полагается в систем32 в названии baselan.dll). Жаль что про AVZ и этот сайт вспомнил в последнюю очередь .....Пришел админ чета в реестре покопался и сказал что кул и норма, мол работай дальше (было это в прошлую пятницу). Сегодня утром ПК включаю и даже не доходя до ввода пользвателя - перезагружается, и так все время. Админ у нас редко бывает = подсказать больше не кому. Доктора что можно сделать с данной болячкой ? И как воопще запустить винду! Спасибо
    З.ы. в безопасном режиме тоже не запускается. Система XP SP1 ,при себе имеется загрузочный диск с SP2 + всякие там проги связаные с установкой.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    userinit.exe попытайся заменить с дистрибутива. Плюс надо проверить ключик

    смотреть, загрузившись с LiveCD и подгрузивши удаленный реестр
    вот ключ:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager\SubSystems

    У меня:
    %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    18.12.2006
    Сообщений
    13
    Вес репутации
    41
    Спасибо что откликнулись Значить все закончилось тем - чем не должно было закончиться .... Пришел админ (который редко появляется), забрал винт, поставил туда чистый userinit.exe = ничего не помогло ! Правда ключи реестра никто не правил (наверное не было времени у него ). Итог - поставил новую Ось , теперя у меня их две. Первая мертвая, зато вторая живая - вот и высылаю логи на проверку новой Оси на предмет поиска всевозможных черных дыр. Еще вот такая просьба - обьясните для того кто с "бронепоезда" как правильно править реестр , и можна ли воопще реанимировать первую мертвую ось находясь в рабочей оси, а то там на рабочем столе остались нужные файлы... И воопще просто самому оч хочется востановить ее на определенное время , естественна с вашей помощью.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    18.12.2006
    Сообщений
    13
    Вес репутации
    41
    Цитата Сообщение от PavelA Посмотреть сообщение
    userinit.exe попытайся заменить с дистрибутива. Плюс надо проверить ключик
    смотреть, загрузившись с LiveCD и подгрузивши удаленный реестр
    вот ключ:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager\SubSystems

    У меня:
    %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
    ключ посмотрел и поправил - как и полагается вместо basesrv там сидело baselan32. Ранее этот файл был случайно переименован в другое название и в последствии убит антивирем. Вопрос следующий - файл userinit подойдет любой неважно какого пака была Ось? Есть небольшие сдвиги - после правки реестра винда перестала перегружатся - но до приглашения пользователя так и не доходит, просто темный экран даже при сейвмоде.
    З.ы. случайно сохранился на компе файл virusinfo_files.zip датировкой дня када это все произошло.

    Добавлено через 23 минуты

    Уважаемые! в ветке HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager\SubSystems сидело baselan32, такое же падло сидит и в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Se ssion Manager\SubSystems - его надо править ?
    Последний раз редактировалось Владимирович; 22.01.2009 в 19:20. Причина: Добавлено

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Да, надо править. Это для другого пользователя.
    и еще CurrentControlSet.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    18.12.2006
    Сообщений
    13
    Вес репутации
    41
    ControlSet002 поправил ! а вот CurrentControlSet не могу найти такую ветку. Захожу значит так: работая под новой Ос подгружаю ветку с каталогом старой винды у меня C:\WINDOWS\system32\config добавляю system без расширения . У меня только показывает ControlSet001 и ControlSet002 + 6 каталогов . Возможно либо я что-то не так делаю либо такой ветки как CurrentControlSet у меня не присутствует.
    Хотя на новой Оси она имеется. Спасибо , буду ждать ваших советов с нетерпением . Реестр забавная штуковина ...

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    basesrv.dll тоже лучше заменить из хорошей винды.
    про вот это я ошибся - CurrentControlSet.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    18.12.2006
    Сообщений
    13
    Вес репутации
    41
    basesrv.dll ну и на всяк случай userinit.exe тоже заменил из чистой винды. Ничего не помогает , так и не приглашает до ввода пользователя - сначала идет окно загрузки винды, опрос клавиатуры а потом темный экран ..... Видать чета еще снеслось с системный файлов в ходе корявого удаления кривыми ручками! Все таки жду советов Великих Докторов . Может помогут логи сканирования AVZ того злонесчастного дня ? правда вес у них 1,15 Мб .Спасибо!

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Если это действительно логи, присылай.
    Имя файлов у них какое? по размеру больно на карантин похоже
    virusinfo_cure.zip грузить по верхней ссылке http://virusinfo.info/upload_virus.php?tid=37749
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    18.12.2006
    Сообщений
    13
    Вес репутации
    41
    Название virusinfo_files название компа.zip, внутри папка с названием даты , а в той папке файлы с названием avz00001.ini и avz00001.dta только конечные цыфиры меняются. Это оно или нет ? Если да - то присылать ?

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Это карантин. Загружай через ссылку.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    18.12.2006
    Сообщений
    13
    Вес репутации
    41
    Загрузил карантин ! Правда не понял как на тот зип ставить пароль virus Надеемся что хоть это поможет ...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Из интересного в карантине только baselan32.dll
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    18.12.2006
    Сообщений
    13
    Вес репутации
    41
    PavelA большое человеческое спасибо ! Так как ПК уже работает и нужные файлы со старой Ос у меня уже имеются - будем считать тему закрытой ! Думаю если бы я не поспешил с удалением своими корявыми рученками и вовремя к вам обратился то результат был бы совсем другой Осталось снести старую Ось ...
    З.ы. зато теперь хоть буду знать что такое реестр .
    Спасибо сайту !

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    AVZ 4.30 лечит эту гадость правильно, так что м.б. там старая версия была или базы не обновлены.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\system volume information\\_restore{f6e941a4-1b6f-4c4f-ba4b-334a3dbc4a59}\\rp440\\a0050791.dll - Trojan.Win32.SubSys.ce (DrWEB: Trojan.Okuks.based)
      2. c:\\windows\\system32\\baselan32.dll - Trojan.Win32.SubSys.ce


  • Уважаемый(ая) Владимирович, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не лечится Trojan.Okuks.Based
      От Bodreyka в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.02.2010, 20:48
    2. Trojan.Okuks.29 и зараженный winlogon.exe
      От koreta в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 05:04
    3. Вирус Trojan.Hotreg и Trojan.Okuks
      От fffrrr в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 04:20
    4. Trojan.Okuks.30
      От Евгений_34 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.05.2008, 15:37
    5. Вирус Trojan.Hotreg и Trojan.Okuks
      От fffrrr в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.03.2008, 10:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00270 seconds with 17 queries