Не могу победить вирус

RusBiT · Непрочитанное сообщение **RusBiT** » 2011-05-05 16:10:28

Поймали вирус.
Стандарные методы лечения winlogon'а не помогают. Правил возращается в исходное положение.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit - C:\WINDOWS\system32\userinit.exe, в норме
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe на explorer.exe, но при логоне переписывается путь.

кто подскажет другие варианты?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Bayerische

Повеселило "на фискальном чеке терминала будет код разблокировки".

Гость

нифига я не понял с ваших обьяснений

ну берите изучайте где он еще переписывается...

Непрочитанное сообщение **FreeBSP** » 2011-05-05 18:20:37

положи на свой мтс 400 рублей

и вбивай все что на чеке будет
или подожди и просканируй хард на другой системе

voider · Непрочитанное сообщение **voider** » 2011-05-05 18:25:45

зайди в безопастном режиме найди папку этой хрени и переменуй файлы перезапустись

Непрочитанное сообщение **FreeBSP** » 2011-05-05 19:20:24

эта дрянь и из безопаски лезет
гавно редкостное

RusBiT · Непрочитанное сообщение **RusBiT** » 2011-05-06 4:11:49

Победил
Удалиляем инфицированные файлы

Код: Выделить всё

C:\Windows\System32\03014D3F.exe
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
С:\WINDOWS\System32\userinit.exe
С:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\SYSTEM32\dllcache\userinit.exe
C:\WINDOWS\SYSTEM32\dllcache\taskmgr.exe

И в реестре возрощаем на место

Код: Выделить всё

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

После в папку С:\WINDOWS\System32\ восстанавливаем

Код: Выделить всё

userinit.exe
taskmgr.exe

koklushkin

на сайте DrWeb есть лекарство! Сразу готовые варианты разблокировки. А так можно загрузиться, например c ActiveBootCD запустить CureIT на проверку, потом в безопасном запустить AVZ на востановление системы и будет тебе счастье)

voider · Непрочитанное сообщение **voider** » 2011-05-08 11:50:05

я ренэйм ,чтоб потом проанализировать ,что за хрень)

RusBiT · Непрочитанное сообщение **RusBiT** » 2011-05-08 17:35:35

koklushkin писал(а):на сайте DrWeb есть лекарство! Сразу готовые варианты разблокировки. А так можно загрузиться, например c ActiveBootCD запустить CureIT на проверку, потом в безопасном запустить AVZ на востановление системы и будет тебе счастье)

Все эти данные варианты были использованы для создания топика, но они почему то не помогли, хотя до этого было все ок.

Непрочитанное сообщение **FreeBSP** » 2011-05-08 17:37:28

совсем новая зараза там ингда и не присутствует
недавно был случай, все перепробовали, ниче не подходит. обновили страницу - появился новый код. он подошел

dekloper

voider писал(а):я ренэйм ,чтоб потом проанализировать ,что за хрень)

+100500
у меня вагон этих ренеймов.. время нет заценить код)

suspender

в HKLM\Software\Microsoft\Windows\CurrentVersion\Run и RunOnce нужно было заглянуть ещё.

forum.lissyara.su

Не могу победить вирус

Не могу победить вирус

Услуги хостинговой компании Host-Food.ru

Re: Не могу победить вирус

Re: Не могу победить вирус

Re: Не могу победить вирус

Re: Не могу победить вирус

Re: Не могу победить вирус

Re: Не могу победить вирус

Re: Не могу победить вирус

Re: Не могу победить вирус

Re: Не могу победить вирус

Re: Не могу победить вирус

Re: Не могу победить вирус

Re: Не могу победить вирус