-
Junior Member
- Вес репутации
- 49
wlock и порно банер!
Здравствуйте! На больную голову свалилась напасть в виде банера с эротическим содержанием и предложением избавиться от этого за 400 руб., при этом и мышь и клавиатура были заблокированы. После перезагрузки баннер исчез и при проверке Dr.Web были выявлены 2 трояна и один из них, wlock, был удален(вручную удалил папку wlock ). После этого при последующей перезагрузке виндовс начинает предлогать выбрать пользователя(а он никогда такого не предлагал). А при загрузке параметров пользователя сеанс моментально завершается. В безопасном режиме проблеммы теже.
При изучении проблеммы в интернете наткнулся на похожие случаи. При помощи ERD comander узучил реестр. Разница лишь в том что по пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon
UIhost = logonui.exe
UserInit = C:\WINDOWS\system32\userinit.exe
VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"
т.е. учитывая опыт других жертв, все впорядке. Также в ERD применил CureIt и AVZ. CureIt ничего не нашёл, а AVZ нашла пару подозрений и что-то там исправила но все так-же.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Файл C:\WINDOWS\system32\userinit.exe есть в наличии?
I am not young enough to know everything...
-
-
UserInit = C:\WINDOWS\system32\userinit.exe, в конце должна быть запятая!
-
-
Junior Member
- Вес репутации
- 49
Да, userinit.exe есть в наличии.
А по поводу запятой, это скорее моя ошибка...я случайно изменил. Исправил, но все также без изменений.
Последний раз редактировалось Ohh!; 10.11.2010 в 17:36.
-
Сообщение от
Ohh!
Да, userinit.exe есть в наличии.
Обычно такая проблема из-за его отсутствия.
Возможно, он испорчен, восстановите его из дистрибутива.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
На диске ХР userinit.exe лежит в запакованном виде и мне наверное потребуется обновлять с диска. По-этому я попробовал заменить userinit.exe с другого компа. Но ни к чему это не привело. Стоит заметить что при загрузке, виндовс, до того как он предлагает выбрать пользователя, грузится крайне долго.
Может попробовать в этом случае зделать откат системы?
Добавлено через 1 час 25 минут
Похоже решилось!
Дело в том что я немного перепутал относительно C:\WINDOWS\system32\userinit.exe.... а на самом деле там в значении userinit было D:\WINDOWS\system32\userinit.exe
Т.е. после того как я первый раз загрузился в ERD у меня системный диск превратился в D. Но я не предовал этому значения потому-что и в самом реестре значение userinit было D:\WINDOWS\system32\userinit.exe ...Ну, думаю, там лучше меня знают...Может переименуют при загрузке нормального виндовса.
Но как я только отредактировал значение, так все сразу загрузилось! Сейчас буду чистить от паразитов. Спасибо за внимание!
Последний раз редактировалось Ohh!; 10.11.2010 в 19:42.
Причина: Добавлено