-
Junior Member
- Вес репутации
- 51
остатки Trojan.winlock.1769 (был баннер: 110151738884 на 3381)
Помогите избавиться от остатков вируса Trojan.Winlock.1769 (описание Dr.Web)
(был вирус-баннер sms с текстом 110151738884 на номер 3381)
Фото баннера: http://www.imageup.ru/img103/sms110151738884353129.jpg
Возможно, что вирус и не один, до этого тоже Winlock другой был...
С помощью CureIt избавился от баннера.
Диспетчер не работает, вообще не реагирует, как и на многие программы (Total Commander, Uninstall Tool, Word и др.),
Dr.Web 6,0 после лечения CureIt и AVZ-восстановления стал грузиться.
Regedit не открывается, работает разве что msconfig - через него посмотрел автозагрузку, всё нормальное, кроме одного файла - C:\WINDOWS\system32\xrafeth.exe - отключил, затем удалил с помощью CureIt оказался Trojan.Muldrop1.21642
Безопасная загрузка..не работает.., восстановление системы отключено. Загрузка с отключением перезагрузки в случае отказа системы также не помогает. Назначенные задания - всё нормально.
Проводил очистку диска с помощью CCleaner (вначале, при загрузке), затем полностью очистил Temp вручную через ERD.
AVZ не запускает, не даёт даже прикоснуться, сразу начинает перезагружаться, даже переименнованный. Но AVZ через ERD запускал, делал восстановление - ничего не дало, переименнованный в винде также не запускается, сразу перезагружается, но прописал его в автозагрузке в реестре с помощью ERD,(при это переименнованный как 1.pif), получилось загрузить, Успел сделать "восстановление". Почти ничего не изменилось, правда теперь грузится dr.web. обновился, и находит при запуске worda сразу вирус в темпе, но не помогает делу.... Ещё поискал все файлы, созданные за последнее время, подозрительные удалил, не помогло.
NOD32 On-Demand (Manual) Scanner не запускает, проги Касперского тоже, как и его Virus Removal Tool Setup (со встраиванием в автозагрузку). Пробовал ProcessExplorer (замена диспетчеру), также закрывает после включения.
gpedit.msc - выключается сразу при включении, print-screenом получилось узнать ошибку в файле: C:\WINDOWS\system32\GroupPolicy\Adm\inetres.adm (попробовал заменить тем же файлом с моего компьютера, не помогло...)
Кстати, после подключени флэшки, создаёт в папке :\Recycler файл формата *.dll Каждый раз с разными именами. Вот, например:
http://www.imageup.ru/img112/bezymyannyjj353835.png
Вирус: Trojan.Winlock.1769 Описание не нашёл.
Новый Cureit нашёл 6 файлов Trojan.Winlock.1769 в C:\WINDOWS\system32\
( auldb.dll cztks.dll euu.dll hebq.dll mrd.dll vojp.dll ), а также много в Temp. Баннер после этого перестал появляться, но системой и запуском программ не контролирую. Однако, теперь после запуска программы (например, word) выдаёт сообщение...затем закрывается, при этом ссылается на файл в темпе, который является вирусом (а он создаётся сразу после запуска проги, причём каждый раз с другим именем). Скачанный альтернативный редактор реестра не запутился. через ERD, и посмотрел реестр.. вроде чистенько с виду... исправил там диспетчер, не помогло. Поискал файлы, и записи в реестре: (рар4jklde.exe ebhrqu.dll tbta.dll rzsfk.dll nlebz.dll vuhwqqd.dll v.dll xbl.dll psowrcjiq.dll module.exe TOBVHG.dll и др.) - не нашёл. Livecd хорошо работал, но ничего нового.
Смотрел строчки в реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_CLASSES_ROOT\exefile\shell\runas\command
HKEY_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
HKLM\Software\Miccrosoft\CurrentVersion\run
и др. некоторые не нашёл, некоторые подправил, но сути не поменялось.. всё также.
Кстати, Компьютер не у меня, поэтому прошу простить за несвоевременную проверку каких-либо способов)
Попробую в следующий раз сделать логи, но скорее всего не даст. а их нужно обязательно в Windows делать, а если через ERD? (прошу извинить, никогда их не делал)
Больше не знаю, что делать, наверное будут делать заново переустановку, но это уже возможно не скоро и может без меня...
Последний раз редактировалось Aleksio.; 01.06.2010 в 18:48.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Aleksio.
их нужно обязательно в Windows делать, а если через ERD?
Логи при загрузки с CD бесполезны.
-
-
Junior Member
- Вес репутации
- 51
Всё, вроде бы избавились от этого вируса... всё отлично работает. Пришёл, а его уже там и след простыл.., до этого Cureit подчистил, затем Avz сделал восстановление(включил его в автозагрузку), темп очистил, после этого стал запускаться Dr.Web. Затем, уходя, ещё разочек его запустил, нашёл пару вирусов... похоже научился полностью его лечить! Ура Dr.Webу!!!
-
Логи прикрепите на всякий случай, мы тоже посмотрим
-