Показано с 1 по 17 из 17.

Win32/LockScreen.GI (заявка № 67383)

  1. #1
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    29

    Cool Win32/LockScreen.GI

    Здравствуйте. Ковырялся вчера вечером в инете и доковырялся, вылезло такое окно

    Это окно нельзя ни переместить, ни закрыть и висит поверх всех окон. При попытке вызвать Диспетчер задач - мертвая тишина. NOD32 определил файл userlib.dll (C:\Users\Administrator\AppData\Roaming\Microsoft\ Windows\Cookies) как вероятно модифицированный Win32/LockScreen.GI троян и положил в карантин. После чего потух интернет. После перезагрузки машины окно больше не появлялось, но Диспетчер задач и интернет не заработали. Причем интернет передается через NAT с другого компьютера, к которому доступ остался.
    ОС Windows 7 RTM x64. Собственно вопрос, сможете помочь вылечить это на х64 системе? И как быть с логами AVZ?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Сделайте лог с помощью AVPTool http://support.kaspersky.ru/avptool2...?qid=208637132
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    29

    Log AVPTool

    Вот, заодно и hijackthis.log...
    Вложения Вложения
    Последний раз редактировалось STEALTH42; 15.01.2010 в 20:17.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните в AVPTool скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    SetServiceStart('Schedule', 4);
     QuarantineFile('C:\Users\Administrator\AppData\Local\Temp\b.exe','');
     DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
     DeleteFile('C:\Users\Administrator\AppData\Local\Temp\b.exe');
     DeleteFile('C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
     DeleteFile('{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(1);
    ExecuteRepair(11);
    ExecuteRepair(14);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните в AVPTool скрипт:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67383

    4. Пофиксите в HijackThis:

    F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users \ADMINI~1\AppData\Local\Temp\asdE1E.tmp
    5. Сделайте новый лог исследования системы.
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    29

    Следуя Вашим указаниям...

    В пунктах 2 и 3, я так понял Вы имели ввиду не AVPToo, а AVZ?
    Все выполнил, только quarantine.zip оказался пустым...
    Но прогресс уже имеем, Диспетчер задач ожил, но инет пока в том же состоянии.
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Выполните в AVPTool скрипт:

    Код:
    begin
    ExecuteRepair(14);
    ExecuteRepair(15);
    ExecuteRepair(18);
    RebootWindows(true);
    end.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    29
    Когда пытаюсь пинговать основной шлюз провайдера через эту машину пишет вот чего

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Попробуйте выполнить скрипт. Если результата он не даст, то придется ручками вписывать параметры соединения.
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    29
    Выполнил скрипт, вбил настройки подключения по-новой и, о чудо, все заработало!!! Как же мне повезло, что наткнулся на ваш сайт! Огромнейшее спасибо!!!

    Низкий поклон Вам, Aleksandra!

    Добавлено через 1 час 32 минуты

    Что-то все наоборот стало, т. е. интернет заработал, но теперь не могу зайти с нашего пациента на другой комп по локалке, а вот с другого без проблем заходит к пациенту. Так же некоторые приложения не могут получить доступ к инету, например: Обновление Windows или Steam. Есть идеи?
    Последний раз редактировалось STEALTH42; 15.01.2010 в 23:34. Причина: Добавлено

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Цитата Сообщение от STEALTH42 Посмотреть сообщение
    Есть идеи?
    Нужно смотреть настройки сети. Других идей нет.
    Сердце решает кого любить... Судьба решает с кем быть...

  12. #11
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    29
    Настройки сети верны. Я думаю вся проблема в том, что компьютер перестал работать с доменными именами. Вот пример

    если пинговать google.com по ip-адресу, то все хорошо. Может это о чем-то вам скажет...

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Посмотрите настройки DNS и NAT.

    Добавь для наглядности результаты выполнения следующих команд:

    ipconfig /all
    ping mail.ru
    ping 194.67.57.126
    nslookup mail.ru
    Сердце решает кого любить... Судьба решает с кем быть...

  14. #13
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    29
    Такая картина получилась:


    С настройками DNS и NAT все в порядке, по крайней мере до этого трояна все замечательно работало полтора года. Не пингует даже компьютер в локальной сети по его имени, только по IP.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    А теперь ipconfig /all с машины на которой все OK.
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #15
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    29

  17. #16
    Junior Member Репутация
    Регистрация
    15.01.2010
    Сообщений
    9
    Вес репутации
    29
    Вобщем решил я проблему гораздо проще: загрузился с установочного диска своей ОС, выбрал "Обновление Windows" и все, сохранились все программы, все настройки и сеть с интернетом заработали как пологается. Так же помогает побороть последствия этого трояна стандартное Восстановление системы (и себе б сделал, но я отключил его сразу после установки ОС), на двух машинах так проделал и все замечательно, главное выбрать контрольную точку с датой до того как подцепили трояна. Почему бы и вам (хэлперам) не предлогать другим людям данным методом решать последствия этих троянов-вымогателей? Так ведь гораздо проще, быстрее и надежнее.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Цитата Сообщение от STEALTH42 Посмотреть сообщение
    Почему бы и вам (хэлперам) не предлогать другим людям данным методом решать последствия этих троянов-вымогателей?
    Потому что это не выход. В вашем случае на машине зловредов не было, а были их последствия.
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) STEALTH42, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/LockScreen.AGD
      От Natsume в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.06.2011, 18:15
    2. Win32/LockScreen.DB
      От 50_Niggaz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.12.2009, 20:55
    3. Win32/LockScreen.DB
      От morphiii в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.12.2009, 18:59
    4. Win32\LockScreen.DB
      От morphiii в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.12.2009, 18:33
    5. вирус Win32/LockScreen.CI и Win32/LockScreen.CM
      От greg20 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.10.2009, 19:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00206 seconds with 17 queries