Если Ваш компьютер инфицирован Trojan.Winlock

[tihiy_grom]

Даже антивирусов никаких не нужно для лечения
Грузимся с любого LiveCD, открываем редактор реестра, смотрим ключ

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

и проверяем что записано в параметрах Shell и UserInit.

Должно быть так:
Shell = Explorer.exe
UserInit = C:\WINDOWS\system32\userinit.exe,

Цитата:

Сообщение от Hewlett2010

Мой способ для невидимок а твой уже с запуском сис-мы

пытаюсь понять смысл этого предложения, но не получается На всякий случай скажу, что в userinit'e прописаны программы, которые стартуют при входе пользователя в систему. И показать себя они могут или в самом начале работы, или в любое время - всё зависит от фантазии вирусописецов.
Да и вообще любой уважающий себя борец с вирусами должен без всякого антивируса отлавливать Autorun-вирусы

[jblack]

Цитата:

Сообщение от tihiy_grom

Даже антивирусов никаких не нужно для лечения
Грузимся с любого LiveCD, открываем редактор реестра, смотрим ключ

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

и проверяем что записано в параметрах Shell и UserInit.

Должно быть так:
Shell = Explorer.exe
UserInit = C:\WINDOWS\system32\userinit.exe,


пытаюсь понять смысл этого предложения, но не получается На всякий случай скажу, что в userinit'e прописаны программы, которые стартуют при входе пользователя в систему. И показать себя они могут или в самом начале работы, или в любое время - всё зависит от фантазии вирусописецов.
Да и вообще любой уважающий себя борец с вирусами должен без всякого антивируса отлавливать Autorun-вирусы

После загрузки с LiveCD проще запустить autoruns.exe от Sysinternals имеется во многих LiveCD и заодно поубивать остальные вирусы, единственное надо точно знать что делаешь и плюс не надо ползать по веткам реестра.

[Major999]

Новая фишка?

Звонит кореш, горюет: поймал эту заразу. Ни одна кнопка на ноуте не работает, даже время остановилось текущее в трее.

Цитата:

Отправьте 300 рублей на номер +79639663766 через терминал оплаты и получите чек с нужным вам кодом.

И больше ничего. Никаких там паролей и кодов.

Кто-то сталкивался?

Цитата:

Сообщение от tihiy_grom

Грузимся с любого LiveCD, открываем редактор реестра, смотрим ключ

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon

и проверяем что записано в параметрах Shell и UserInit.

Должно быть так:
Shell = Explorer.exe
UserInit = C:\WINDOWS\system32\userinit.exe,

Цитата:

Сообщение от jblack

После загрузки с LiveCD проще запустить autoruns.exe от Sysinternals имеется во многих LiveCD и заодно поубивать остальные вирусы, единственное надо точно знать что делаешь и плюс не надо ползать по веткам реестра.

Эти варианты вечером конечно попробую.

[J00L]

Иногда возникает ситуация, когда после лечения системы от вирусов она перестает загружаться или же троянская программа блокирует загрузку Windows, требуя выслать смс на определенный платный номер.

Для восстановления системы воспользуемся загрузочным диском ERDCommander.

Подготовительный этап

1. Скачать ERDCommander.

2. Записать на CD/DVD диск.

3. В настройках BIOS установить загрузку с CD/DVD.

4. Загрузиться с CD/DVD.

Запуск системы


1. Скачать ERDCommander.

2. Записать на CD/DVD диск.

3. В настройках BIOS установить загрузку с CD/DVD.

4. Загрузиться с CD/DVD.

Запуск системы



Поиск проблемм

Если при попытке входа в учетную запись завершается работа.

1.Необходимо заменить файл userinit.exe

Как правило этот файл находится в каталоге C:\WINDOWS\system32. Этот файл можно взять в дистрибутиве Windows или же взять другого компьютера с такой же операционной системой.

2. Запустить редактор реестра. Для этого нажать кнопку "Start"-"Administrative Tools"-"RegEdit"



3. Найти ветку реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"

Он должен иметь такой вид "Userinit"="С:\WINDOWS\system32\userinit.exe," . После запятой ничего не должно быть.

4. Если там прописан еще какой-нибудь путь, то нужно его обрезать до выше указанного.

Вот пример неправильной записи в реестре. В этой ветке прописался неизвестный троян.



Если при попытке входа в учетную запись загружается пустой рабочий стол.

1. Найти ветку реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Shell"="Explorer.exe"

2. Если в ключе прописано что-то другое, то замените на указаное выше.


ключ "Shell"="Explorer.exe"

2. Если в ключе прописано что-то другое, то замените на указаное выше.

Запуск CureIT в ERDCommander

Официально запуск CureIT в различных LiveCD пока не поддерживается. Но разработчики предусмотрели и такую ситуацию.

Итак, наши действия:

1. Скачать и записать ERDCommander (об этом выше).

2.1. Работа с флешкой

а)Скачать CureIT и записать на флешку.

б)Загрузиться с ERDCommander (при этом флешка с сохраненным CureIT должны быть подключена).

2.2. Работа с жестким диском.

а) Загрузиться с ERDCommander с поддержкой сети.

б) Скачать CureIT на жесткий диск (Например на диск С в корневую папку).

3.Запустить CureIT из командной строки с такими ключами.

cureit.exe /not_use_shield /shell /tm- /ts-

где

cureit.exe = имя файла CureIT

shell = смотрим в справке(так и оставляем).

not_use_shield = будем работать без шилда чтобы не упасть в BSOD(так и оставляем).

Бета куреит можно/нужно запускать без каких либо ключей,он специально оптимизирован для работы под LiveCD.

Скачать Beta CureIT!

Сбор данных реестра

1.Запускаем редактор реестра Regedit

2.По очереди экспортируем все ветки реестра(в более новых версиях ERD Commander есть возможность экспортировать весь реестр.)



3.После выбора пункта меню "Export" программа спросит куда экспортировать данные(сохранять). Например я выбираю диск С. Далее ввожу имя файла (например 1 или vetka1) и нажимаю кнопку "Save".Теперь у меня на диске С


создан будет файл 1.reg (или vetka1.reg). Главное запомнить куда вы сохраняете данные.

4.Необходимо отправить данные в службу технической поддержки или прикрепить на форуме. Данные реестра могут содержать конфидециальную информацию . Поэтому их нужно зашифровать. Это можно сделать на другом компьютере. Или же поискать на диске программу архиватор. У меня например установлен архиватор WinRar. С помощью "Explorer" можно его найти и запустить. Как правило он находится здесь С:\Program Files\WinRAR\WinRAR.exe . И заархивировать файл с паролем.

Поиск подозрительных файлов

1.Нажимаем кнопку "START".

2.Далее выбираем пункт меню "Explorer".Запускаем.

3.Далее по полученным на форуме рекомендациям ищем файл в Проводнике и при необходимости отправляем в вирлаб



4.С помощью "Explorer" ищем файл лог антивирусного монитора Spider Guard (если он установлен) и лог SpIDer Gate. Эти логи могут помочь в лечении компьютера.

Как правило лог SpiDer Guard находится в каталоге антивируса DrWeb (если он у вас установлен) и называется spidernt.log. Например у меня он находится в каталоге С:\Program Files\DrWeb

Лог Spider Gate находится в профиле пользователя и называется spidergate.log

Дополнительно

Желательно использовать ERD Commander 2008 или более поздние версии.


Скачать Dr.Web LiveCD бесплатно

[jblack]

Цитата:

Сообщение от Major999

Новая фишка?

Звонит кореш, горюет: поймал эту заразу. Ни одна кнопка на ноуте не работает, даже время остановилось текущее в трее.
И больше ничего. Никаких там паролей и кодов.

Кто-то сталкивался?

Эти варианты вечером конечно попробую.

Обычно для удаления всех вредителей, особенно тех которых нет в базах антивирусов использую следующую технологию:

Загружаю LiveCD.

Проверяю следующие папки в которых обычно селятся зверьки:

C:\Documents and Settings\"имя пользователя"\Application Data папки не трогаем удаляем в корне текущей папки все файлы кроме desktop.ini

далее удаляем все файлы с папок:

C:\Documents and Settings\"имя пользователя"\Local Settings\Temp
C:\Documents and Settings\"имя пользователя"\Local Settings\Temporary Internet Files
C:\WINDOWS\Temp

также можно проверить те же папки для профилей "All Users" и "Администратор"

Порно баннеры обычно селятся в какой либо папке в директории C:\Documents and Settings\"имя пользователя"\Application Data

Очень часто встречалась папка "media" с файлом "media.exe" внутри, хотя попадались и совсем не примечательные папки.

далее запускаем autoruns.exe от Sysinternals и удаляем ссылки на запуск всех файлов расположенных в выше перечисленных папках для того чтобы потом при запуске системы не выскакивало окон о невозможности найти файл для запуска.

Данные действия помогают в большинстве случаев, в остальных случаях были повреждены все системные exe файлы и проще переустановить систему.