Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Winlock

1 2 3 След.
RSS
 
IGR
IGR
Пользователь
Сообщений: 1
Регистрация: 08.07.2011
Размещено 08.07.2011 23:05:01
Здравствуйте!

Поймал анологичный банер.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.07.2011 07:12:17
Цитата
IGR пишет:
Здравствуйте!
Поймал анологичный банер.
выполните скрипт в uVS из под Winpe,
после перезагрузки,
проверить доступ к рабочему столу, пишем результат,
если доступ к рабочему столу есть,
В папке с программой UVS (c:\$uvs285) будет папка zoo, ее поместить в архив, установить пароль infected и прислать сюда [email protected]
также
обновите антивирус, выполните полное сканирование системы,
добавить на форум новый образ автозапуска uVS
ждем новых рекомендаций.
[ Как создать образ автозапуска? ]
 
TumblerKh
TumblerKh
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 11.08.2011
Размещено 11.08.2011 22:37:25
Чтобы не создавать подобную тему,заразил свой компьютер данным вирусом.
Создал образ автозапуска из под WinPe,
после перезагрузки рабочий стол не доступен по прежнему.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.08.2011 23:52:14
система для исследования выбрана не верно.  
Необходимо в стартовом меню нажать на пункт "выбрать каталог Windows", открыть диалог выбора каталога системы,
и выбрать каталог с Win с вашего жесткого диска.
-----
повторите создание образа.
[ Как создать образ автозапуска? ]
 
TumblerKh
TumblerKh
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 11.08.2011
Размещено 12.08.2011 09:08:42
Цитата
santy пишет:
система для исследования выбрана не верно.  
Необходимо в стартовом меню нажать на пункт "выбрать каталог Windows", открыть диалог выбора каталога системы,
и выбрать каталог с Win с вашего жесткого диска.
-----
повторите создание образа.
Повторный образ.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.08.2011 09:56:25
похоже, ключ winlogon\shell совсем удален.
выполните скрипт в uVS из под winPE, возможно, восстановится в нормальное состояние ветка реестра winlogon
перезагрузка,
пишем результат.
[ Как создать образ автозапуска? ]
 
TumblerKh
TumblerKh
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 11.08.2011
Размещено 12.08.2011 11:15:50
Цитата
santy пишет:
похоже, ключ winlogon\shell совсем удален.
выполните скрипт в uVS из под winPE, возможно, восстановится в нормальное состояние ветка реестра winlogon
перезагрузка,
пишем результат.
Результат положительный, рабочий стол загрузился, все на месте.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.08.2011 12:52:29
Я думаю, до этого скрипта было некорректное лечение,
вместе с файлами локера удалили и параметр реестра из которой Explorer загружает рабочий стол.
вот из этой ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
был удален параметр
Shell
в котором должно быть значение Explorer.exe
----------------
вопрос: каким образом были удалены файлы локера?

- вручную используя ERD 2005
- Live.CD, которые используют автоматическую очистку
- другие варианты
Изменено: santy - 12.08.2011 12:53:00
[ Как создать образ автозапуска? ]
 
TumblerKh
TumblerKh
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 11.08.2011
Размещено 12.08.2011 14:17:43
Цитата
santy пишет:
Я думаю, до этого скрипта было некорректное лечение,
вместе с файлами локера удалили и параметр реестра из которой Explorer загружает рабочий стол.
вот из этой ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
был удален параметр
Shell
в котором должно быть значение Explorer.exe
----------------
вопрос: каким образом были удалены файлы локера?

- вручную используя ERD 2005
- Live.CD, которые используют автоматическую очистку
- другие варианты
Вы правы, лечение производилось из второй системы windows7: запускал такую программу, как Dr.Web CureIt! и Agent trojan cleaner,но CureIt! не корректно себя повела в системе и произошло отключение ПК на 50% сканирования,а Agent trojan cleaner не выявил угроз. Возможно это как-то повлияло на реестр.
 
Rin_abz
Rin_abz
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 12.08.2011
Размещено 13.08.2011 08:25:22
Добрый день!
Хотел отправить Вам файл образа автозапуска, не могу прикрепить.

Получилось потом добавить, что-то с Инетом.
Изменено: Rin_abz - 13.08.2011 08:29:01 (Добавление)
 
1 2 3 След.
Читают тему