Не могу победить вирус

[RusBiT]

Поймали вирус.
Стандарные методы лечения winlogon'а не помогают. Правил возращается в исходное положение.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit - C:\WINDOWS\system32\userinit.exe, в норме
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe на explorer.exe, но при логоне переписывается путь.

кто подскажет другие варианты?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Bayerische]

Повеселило "на фискальном чеке терминала будет код разблокировки".

[Гость]

нифига я не понял с ваших обьяснений

ну берите изучайте где он еще переписывается...

[FreeBSP]

положи на свой мтс 400 рублей
и вбивай все что на чеке будет
или подожди и просканируй хард на другой системе

[voider]

зайди в безопастном режиме найди папку этой хрени и переменуй файлы перезапустись

[FreeBSP]

эта дрянь и из безопаски лезет
гавно редкостное

[RusBiT]

Победил
Удалиляем инфицированные файлы

Код: Выделить всё

C:\Windows\System32\03014D3F.exe
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
С:\WINDOWS\System32\userinit.exe
С:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\SYSTEM32\dllcache\userinit.exe
C:\WINDOWS\SYSTEM32\dllcache\taskmgr.exe

И в реестре возрощаем на место

Код: Выделить всё

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

После в папку С:\WINDOWS\System32\ восстанавливаем

Код: Выделить всё

userinit.exe
taskmgr.exe

[koklushkin]

на сайте DrWeb есть лекарство! Сразу готовые варианты разблокировки. А так можно загрузиться, например c ActiveBootCD запустить CureIT на проверку, потом в безопасном запустить AVZ на востановление системы и будет тебе счастье)

[voider]

я ренэйм ,чтоб потом проанализировать ,что за хрень)

[RusBiT]

на сайте DrWeb есть лекарство! Сразу готовые варианты разблокировки. А так можно загрузиться, например c ActiveBootCD запустить CureIT на проверку, потом в безопасном запустить AVZ на востановление системы и будет тебе счастье)

Все эти данные варианты были использованы для создания топика, но они почему то не помогли, хотя до этого было все ок.

[FreeBSP]

совсем новая зараза там ингда и не присутствует
недавно был случай, все перепробовали, ниче не подходит. обновили страницу - появился новый код. он подошел

[dekloper]

я ренэйм ,чтоб потом проанализировать ,что за хрень)

+100500
у меня вагон этих ренеймов.. время нет заценить код)

[suspender]

в HKLM\Software\Microsoft\Windows\CurrentVersion\Run и RunOnce нужно было заглянуть ещё.