Показано с 1 по 13 из 13.

Помогите определить поддельный параметр.. (заявка № 82340)

  1. #1
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.11.2009
    Сообщений
    680
    Вес репутации
    0

    Thumbs up Помогите определить поддельный параметр..

    Сразу говорю, что не могу выполнить правила раздела безопасности!
    данный зловред из новичков и до безопасного режима не пускает

    Ветка
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    Два параметра Winlogon, как определить, какой оригинал а какой удалять???
    Параметр Shell после explorer.exe, продолжение>>>
    Данный параметр до нормы отредактировала..
    Это бы отдельный Winlogon с двумя параметрами..
    А есть Winlogon ещё с тучей параметров, включая Userinit(Данное значение в норме)
    Наверное последний - оригинал, а предыдущий - удалять? Подскажите, пожалуйста...
    Просто с самым последним зловредом от 30 числа имею первый опыт. Благо не на своём компе...
    Последний раз редактировалось Nvidia; 02.07.2010 в 15:05.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Пуск - Выполнить - regedit
    Зайти в обе ветки, экспортировать их в отдельные файлы и прикрепить к сообщению (поддельная скорее всего та, где все буквы маленькие)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.11.2009
    Сообщений
    680
    Вес репутации
    0
    есть по регистру: Winlogon, который содержит параметры Userinit и Shell
    а есть: winlogon, в котором строка Userinit - отсутствует, есть только Shell
    Удалила... поддельный winlogon, отредактировала Shell в оригинальном Winlogon,
    параметр Userinit в норме.. а винлокер остался...
    Ещё и при перезагрузке выдало синий экран с неожиданным выключениемЮ но ОС жива, раз этот Винлокер висит во весь экран..
    Но Винлокер судя по коду СМС последний новичок от 30 числа...
    Trojan-Ransom.Win32.PinkBlocker.bye

    Я не пойму.. как через ЕРД Коммандор экспортировать реестр.. там выбор только где сохранить на компе, а флэшки выбора не было..
    Это не мой комп, а сестры..


    путь файла: с\programFiles\Common Files\system\system.exe
    А файл реально через ЕРД коммандор удалить, или только в реестре лазать?


    скорее всего Trojan-Ransom.Win32.PinkBlocker.bye
    Всего то по чистой ОС с сайта Мазилла браузер скачала, и Винда обновления качала.. А ещё бесплатную утилиту UltraISO качала.. А антивирусник только поставила - обновиться не успел...

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Цитата Сообщение от Nvidia Посмотреть сообщение
    файл реально через ЕРД коммандор удалить
    Реально. Но лучше переименовать

    Файл может быть прописан в одном из ключей автозапуска Run (предположительно параметр shell). Потому и остался висеть
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.11.2009
    Сообщений
    680
    Вес репутации
    0
    Не надо переименовывать.. Не думаю, что легал забрался бы так жестоко..
    с\programFiles\Common Files\system\system.exe
    Файл удалила.. и нету ни синего экрана, ни баннера..
    Сейчас теперь включу АВЗ, чтобы проверить ПК для контроля..

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Файл нужно было переименовать, чтобы он ушел в вирлаб!!!
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.11.2009
    Сообщений
    680
    Вес репутации
    0
    thyrex,Это был скорее всего последний Винлокер, 5121, но код начинался на семёрку.. Его Каспер с 30 числа детектит, но коды ни один не подошёл для разблокировки...
    На форуме Каспера была эта тема...)))
    Хотя нет.. не то.. там было C:\Program Files\Internet Explorer\instal.exe.
    Но цифры что были у меня, помню:
    Код: 745567458 для номера 5121.
    Не знаю, старый это или новый
    Простите.. скосячила.. Это мой первый опыт по удалению Винлокеров наяву
    Последний раз редактировалось Nvidia; 02.07.2010 в 17:12.

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.11.2009
    Сообщений
    680
    Вес репутации
    0
    Раз подняла переполох.. получайте логи!

    Вложение 250438

    Вложение 250439

    Вложение 250440

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Пофиксите в HiJack
    Код:
    O1 - Hosts: 85.12.46.140 odnoklassniki.ru
    O1 - Hosts: 85.12.46.140 www.odnoklassniki.ru
    O1 - Hosts: 85.12.46.140 vkontakte.ru
    O1 - Hosts: 85.12.46.140 www.vkontakte.ru
    O1 - Hosts: 85.12.46.140 vk.com
    O1 - Hosts: 85.12.46.140 www.vk.com
    Больше плохого не видно, хотя базы AVZ устаревшие
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.11.2009
    Сообщений
    680
    Вес репутации
    0
    Это любит человечек там бродить... Это не я...)))
    Спасибо за помощь.
    И вопрос на будущее:
    Файл Вилокеров везде активный или как?
    его надо переименовать или ещё и переместить в другую папку?
    НА флэшку сохранить ЕРД коммандор возможностей не давал..
    Да и х.з. как у него поведение в других папках
    или он в другой папке тоже даст о себе знать?
    И кроме Winlogon( с маленькой буквы), он где ещё может висеть?
    Короче, как в таких ситуациях взять файл за горло, чтобы он был неактивный и мог бы достаться специалистам ЛК?
    Откатить систему не могу, всё установлено с нуля....(((

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Цитата Сообщение от Nvidia Посмотреть сообщение
    Это любит человечек там бродить...
    Это не IP-адреса ВКонтакте и Одноклассников

    Цитата Сообщение от Nvidia Посмотреть сообщение
    Файл Вилокеров везде активный или как?
    Файлы от разных винлокеров могут располагаться в различных местах на диске. И прописываются в разные параметры в реестре. (см. темы с ними в Помогите)

    Если удалось найти местоположение с помощью того же ERD Commander? идеальный вариант - исправить реестр и переименовать, а не удалять файл блокера
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.11.2009
    Сообщений
    680
    Вес репутации
    0
    Если удалось найти местоположение с помощью того же ERD Commander? идеальный вариант - исправить реестр и переименовать, а не удалять файл блокера
    То есть я понимаю так, что если файл хотя бы переименовать, то он уже будет неактивный?

    НО при отправке ЛК необходимо будет доложить расширение, с которым файл в рабочем состоянии...?

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Переименовать файл можно не меняя расширения. На этом форуме файлы нужно присылать через карантин по красной ссылке
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Nvidia, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите определить руткит или нет
      От Orientor в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.06.2011, 14:08
    2. Помогите определить причину
      От Gorski в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.08.2009, 08:46
    3. Помогите определить вирусы
      От efremaka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.07.2009, 10:30
    4. Помогите определить зловреда.
      От virusxr866 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 31.03.2009, 13:44
    5. Помогите определить, что за тварь...
      От Topine в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 22.02.2009, 04:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00546 seconds with 16 queries