Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Подозрение на остатки винлока!!!! Помогите!!!!! (заявка № 83928)

  1. #1
    Junior Member Репутация
    Регистрация
    27.07.2010
    Сообщений
    14
    Вес репутации
    50

    Thumbs up Подозрение на остатки винлока!!!! Помогите!!!!!

    Была какая-то фигня типа Винлокера, но сработала защита браузера (Файер), винды не заблокировало, но реестр и пользователя блокнуло!!! Реестр разблокировал, файл нашел - слил, почистил, так вроде ничего!!! НО!!!!
    Появился новый администратор, локальные пользователи и группы в управлении компьютером заблокированы, пишет, что нет доступа к компьютеру. Не удается найти %1. Ну, и файлы появляются в Темпе, непонятные!!!! Комп выключается 10 минут!!!!Я не продвинутый, посмотрите логи, может удастся помочь!!!!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: AutorunsDisabled - Invalid registry found
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
     DelBHO('{44627E97-789B-40d4-B5C2-58BD171129A1}');
     DelBHO('{0E1230F8-EA50-42A9-983C-D22ABC2EED3C}');
     DelBHO('{472734EA-242A-422B-ADF8-83D1E48CC825}');
     DelBHO('{327C2873-E90D-4c37-AA9D-10AC9BABA46C}');
     DelBHO('{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}');
     DelBHO('{9961627E-4059-41B4-8E0E-A7D6B3854ADF}');
     DelBHO('{2A0F3D1B-0909-4FF4-B272-609CCE6054E7}');
     QuarantineFile('C:\WINDOWS2\inf\nlite.cmd','');
     QuarantineFile('NMIndexingService.sys','');
     DeleteService('NMIndexingService');
     DeleteFile('NMIndexingService.sys');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    27.07.2010
    Сообщений
    14
    Вес репутации
    50
    Спасибо, за скорость реакции!!!!!
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS2\system32\drivers\vdqwnzm2.sys','');
     QuarantineFile('C:\WINDOWS2\inf\nlite.cmd','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Закачайте катантин

  6. #5
    Junior Member Репутация
    Регистрация
    27.07.2010
    Сообщений
    14
    Вес репутации
    50
    Карантин отправил по ссылке с предыдущими логами. Новый вкладываю сюда.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от BinMr Посмотреть сообщение
    Новый вкладываю сюда
    Закачивать надо по ссылке. Карантин пуст.
    Сделайте лог МВАМ

  8. #7
    Junior Member Репутация
    Регистрация
    27.07.2010
    Сообщений
    14
    Вес репутации
    50
    Я, по ссылке и отправил. Второй раз продублировал во вложении или надо было отправить второй по ссылке? Вы первый видели? Я, извиняюсь, наверное не понял сразу. Сейчас отправлю!

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от BinMr Посмотреть сообщение
    или надо было отправить второй по ссылке?
    Да. Сейчас отправлять не надо, т.к. карантин пуст.
    Жду лог МВАМ

  10. #9
    Junior Member Репутация
    Регистрация
    27.07.2010
    Сообщений
    14
    Вес репутации
    50
    Уже отправил, еще раз, извинехенс!!!!! Сейчас сканирует, но долго че-то!
    А сколько вообще должно идти полное сканирование, по времени. У меня 100 ГБ. Вчера Dr. Web CureItом сканировал всю ночь, около 8 часов - это нормально??

  11. #10
    Junior Member Репутация
    Регистрация
    27.07.2010
    Сообщений
    14
    Вес репутации
    50
    Вот!

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    C:\Documents and Settings\дима\Рабочий стол\Свидетели\Vnimajte.exe--это Вам знакомо?
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{831cbac0-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac0-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe (Security.Hijack) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
    
    Зараженные папки:
    C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.

  13. #12
    Junior Member Репутация
    Регистрация
    27.07.2010
    Сообщений
    14
    Вес репутации
    50
    [QUOTE=shapel;677426]C:\Documents and Settings\дима\Рабочий стол\Свидетели\Vnimajte.exe--это Вам знакомо?

    Это знакомо. Все сделал, что далее????

  14. #13

  15. #14
    Junior Member Репутация
    Регистрация
    27.07.2010
    Сообщений
    14
    Вес репутации
    50
    Изменений нет(в лучшую сторону). При отключении сети, пишет, что невозможно отключить подключение в данный момент. "Подключение использует протоколы, которые не поддерживают Plug and Play, либо оно было инициированно другим пользователем или системной учетной записью." раньше такого не было.
    Ну и локальные пользователи и группы в "управлении компом", также нет доступа: ошибка: не удается найти %1. [IMG]file:///C:/DOCUME%7E1/C4C5%7E1/LOCALS%7E1/Temp/moz-screenshot.png[/IMG]

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от BinMr Посмотреть сообщение
    Появился новый администратор
    В смысле, новая учетная запись с правами администратора?
    Пробуем так: скачайте ERD Commander, запишите образ на диск. Загрузитесь с него, нажмите Start--Systems Tools--Locksmith--выводит список всех учётных записей. Измените пароль на новой учетной записи с администраторскими правами.
    Затем загрузитесь под этой учеткой, отредактируйте Вашу основную учетную запись
    (присвоить права администратора), загрузитесь с нее и удалите новую учетную запись.

  17. #16
    Junior Member Репутация
    Регистрация
    27.07.2010
    Сообщений
    14
    Вес репутации
    50
    Загрузился, зашел под Администратором, но не увидел учетной записи второго Администратора, так, на всякий случай сменил пароль. Не, я конечно лох, поэтому я к вам и обращаюсь, но проблема в "управлении компьютером" с "локальными пользователями и группами", не решается даже под "Администратором". В папке Documents and Settings, пользователи идут так:
    Администратор
    Администратор, ХХХХХХХХ - номер компа
    хххххххх - имя(с правами администратора)
    хххххххх - имя (с правами пользователь)
    Гость
    Может этот админ остался от второго винда?
    А с логами, что-нибудь прояснилось? Сидит, где-то гадина?
    И в темпе сидит Perflib_Perfdata_2a4.dat, это нормально?
    Последний раз редактировалось BinMr; 29.07.2010 в 11:05.

  18. #17
    Junior Member Репутация
    Регистрация
    27.07.2010
    Сообщений
    14
    Вес репутации
    50
    И в темпе сидит Perflib_Perfdata_2a4.dat, это нормально?
    А с логами, что-нибудь прояснилось? Сидит, где-то гадина?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от BinMr Посмотреть сообщение
    Администратор
    Администратор, ХХХХХХХХ - номер компа
    хххххххх - имя(с правами администратора)
    хххххххх - имя (с правами пользователь)
    Гость
    Администратор--даже под этой учеткой не получается внести изменения?

  20. #19
    Junior Member Репутация
    Регистрация
    27.07.2010
    Сообщений
    14
    Вес репутации
    50
    При в ходе под "Администратором", в "управлении компьютером" на "локальных пользователях и группах" стоит значок - "остановка запрещена", а при попытке открытия вылезает окошко "нет доступа к компьютеру. ошибка: не удается найти %1.!

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Сделайте комплект логов под учеткой "Администратор", также сделайте логи МВАМ и Gmer

  • Уважаемый(ая) BinMr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на остатки трояна.
      От mouse в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.07.2011, 21:43
    2. Ответов: 5
      Последнее сообщение: 04.06.2011, 15:17
    3. Подозрение на остатки зверя
      От mak83 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 14.08.2010, 16:42
    4. Ответов: 6
      Последнее сообщение: 03.06.2009, 16:16
    5. Подозрение на остатки вирусов
      От Scaramanga в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.09.2008, 10:52

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01112 seconds with 20 queries