Показано с 1 по 6 из 6.

Блокируется Windows, не зайти в безопасный режим (Trojan.Winlocker\Trojan.Hideproc) (заявка № 51727)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    3
    Вес репутации
    31

    Блокируется Windows, не зайти в безопасный режим (Trojan.Winlocker\Trojan.Hideproc)

    У меня проблема такая:
    При попытке входа в Windows высвечивается окно "Обнаружена нелицензионная копия Windows..." и т.д., просит отослать СМС с кодом #dd212 на номер 6008, а при попытке загрузки безопасного режима появляется синий экран, призывающий меня проверить диски на наличие ошибок и вирусов. Логи я делал с параллельной Windows, которую установил после заражения. Обе системы XP SP3. Также выполнил протоколирование загрузки зараженной системы (лог-файл ntbtlog.txt). Вроде как это и Winlocker, но DrWeb находит файлы в директории Documents and Settings/User/Application Data/Temp с названиями типа tmp1.tmp tmp2.tmp и т.д. и определяет их как вирус Trojan.Hideproc. Помогите пожалуйста!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

    Смысл нам от логов,которые сделаны в другой винде?
    Сделайте полную проверку AVPTool или CureIt.

    Так же можете сделать это:

    подключите как куст реестр "больной" системы
    1. Запустите regedit и выделите раздел HKEY_USERS.
    2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
    3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
    4. Введите имя для раздела, который вы загрузили, например, MyHive.
    посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
    не забудьте выгрузить куст

  4. #3
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    3
    Вес репутации
    31
    Это база AVZ не обновлена? Просто я проверял DrWeb который обновляю каждый день. В реестре я так и делал путем загрузки куста больной системы все менял, не помогало.
    Последний раз редактировалось Pashoid; 10.08.2009 в 13:50. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Pashoid Посмотреть сообщение
    Это база AVZ не обновлена?.
    Да

  6. #5
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    3
    Вес репутации
    31
    Удалось запустить AVZ в зараженной системе через командную строку, которую я запустил через залипание-установка принтера-печать. Враждебными оказались процессы explorer.exe и noexe.exe при завершении процессов убрался синий экран, но дальше ничего не произошло, установка DrWeb стопорится на отключении модуля самозащиты+вирус завершает все сторонние процессы примерно каждые 4-5 минут( AVZ обновил кстати, но полная проверка результата не дала(

    Update
    Удалил файлы NoExe.exe explorer.exe, после чего успешно зашел в систему, но проводник не работает.
    Последний раз редактировалось Pashoid; 10.08.2009 в 16:17.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    explorer.exe и есть проводник

    Где логи из зараженной системы?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Pashoid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 8
      Последнее сообщение: 28.12.2010, 13:21
    2. не могу зайти в безопасный режим
      От vlad_1976 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 24.09.2009, 09:20
    3. Ответов: 1
      Последнее сообщение: 12.08.2009, 12:14
    4. Не возможно зайти в безопасный режим
      От ozzik в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:42
    5. Ответов: 7
      Последнее сообщение: 19.12.2007, 10:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00289 seconds with 17 queries