-
Junior Member
- Вес репутации
- 53
lock windows
доброй ночи
суть проблемы
комп под windows XP sp3, фаервол отключен, ДрВеб лицензия с новыми базами но без ДрВебвского фаервола облегченная версия короч
core 2 duo, 2 HDD на 160 и 320 гб оба WD
мать гигобайтовская миниАТХ г41 какая то там
вчера ночью полазил по "интернетам" сегодня включаю комп выдает банер (рис1), предполагаю что случайно нажал на появляющийся банер с вредоносным кодом...(картинка очень похожа на Trojan.Winlock.2787, указанный на сайте дрвеба, но цифры не подошли 
)
запуск компьютера в безопасный режим выдает бсод (рис3 если я не ошибся при наборе вот код ошибки stop: 0x0000007b (0xF789E524, 0xC00000034, 0x000000000 0x000000000) )...
в итоге получается что запустить AVZ, hijackthis не могу, и следовательно выполнить ваши требования к оформлению запроса помощи =\
ЗЫ: сейчас буду пробовать лайв СД записал свежии от каспера и др веба...
ЗЫЫ: надеюсь что подскажите что нибудь 
upd1: касперский livecd нашел пару троянов и бек доров в старых файлах, но не помогло, др.веб liveCD требует ключ или регистрацию демо о_О причем регистрацию демо он не проходит а ключ от установленной версии на компе не хавает...
Последний раз редактировалось 8t88; 22.01.2011 в 03:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
такс по порядку
1) сп за пост:
http://virusinfo.info/showpost.php?p=758231&postcount=4
помогла прога ERD Commander
в реестре оказалось 2 папки Winlogon, в одной был прописан путь в трояну, programm files/common files/mail/svchost.exe
исправил только shell, т.к. в userinit путь был правильный
+удалил файл из папки мейл
2) Баннер убрался но др веб guard не включился...
+нельзя запустить regedit "Редактирование запрещено администратором системы"
3) AVZ и hijackthis запустились без проблем вот логи:
4) bsod остался ((
Код:
stop: 0x0000007b (0xF789E524, 0xC00000034, 0x000000000 0x000000000)
я так понял не у меня одного такое:
http://virusinfo.info/showthread.php?t=95825
Последний раз редактировалось 8t88; 22.01.2011 в 04:36.
Причина: upd2.1
-
Заразы в логах не видно.
Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(10);
ExecuteRepair(17);
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite( 'HKLM', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Должно помочь.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
скрипт выполнил.
бсод вроде бы ушел
доступ к реестру получил...
на всякий случай сделал повторные логи:
ЗЫ: сп за помощь
-
I am not young enough to know everything...
-
