Форум esetnod32.ru [тема: Winlock]

Форум esetnod32.ru [тема: Winlock] http://forum.esetnod32.ru Новое в теме Winlock форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 14 Apr 2026 08:36:17 +0300 Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/
15.08.2011 12:03:35, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19264/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19264/ Mon, 15 Aug 2011 12:03:35 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скрипт выполнил, изменений нет...
15.08.2011 11:55:17, atimeev.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19263/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19263/ Mon, 15 Aug 2011 11:55:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
скрипт надо сохранить как файл по ссылке "скачать",
15.08.2011 11:40:12, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19262/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19262/ Mon, 15 Aug 2011 11:40:12 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот, что пишет "Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких команд запрещено"
15.08.2011 11:33:49, atimeev.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19261/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19261/ Mon, 15 Aug 2011 11:33:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
ок, выполняем скрипт, пишем результат, дальше видно будет что делать
15.08.2011 11:08:50, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19257/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19257/ Mon, 15 Aug 2011 11:08:50 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
Имеет место некоторое зависание системы, не понятно от чего.
15.08.2011 11:03:46, atimeev.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19256/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19256/ Mon, 15 Aug 2011 11:03:46 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполните в uVS скрипт очистки,
перезагрузка,
краткое описание остаточных проблем в системе
scr_3.txt
15.08.2011 11:03:31, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19255/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19255/ Mon, 15 Aug 2011 11:03:31 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
а какие проблемы в системе? если вы сделали лог малваребайт, значит нет уже Winlock
15.08.2011 10:55:09, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19254/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19254/ Mon, 15 Aug 2011 10:55:09 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
Проверьте пожалуйста.
ЛЮБА-ПК_2011-08-15_12-19-54.rar
mbam-log-2011-08-15 (12-03-51).txt
15.08.2011 10:31:46, atimeev.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19253/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19253/ Mon, 15 Aug 2011 10:31:46 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
но как влияет на безопасность обновление Adobe Acrobat Reader и Adobe Flash Player
=============
У каждой программы есть свои так называемые "дыры", через которые возможен тот или иной доступ к данным, системе и т.п.
Adobe Acrobat Reader и Adobe Flash Player имеют свои модули для работы с браузерами, что создает дополнительные уязвимости для системы. Многие специалисты регулярно находят уязвимости в системе безопасности для ПО от Adobe, да и есть специальные модификации вирусов для эксплуатации этих дыр. В частности, именно поэтому Adobe также регулярно выпускает обновления, в которых некоторые уязвимости и исправляются.
И кстати, именно из-за таких уязвимостей в последнее время пошли разговоры о необходимости заменить формат PDF (автором которого является как раз Adobe) чем-то новым, из-за наличия уязвимостей в самом формате.
14.08.2011 13:29:35, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19233/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19233/ Sun, 14 Aug 2011 13:29:35 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
Рекомендации выполню, обязательно, но как влияет на безопасность обновление Adobe Acrobat Reader и Adobe Flash Player.
Спасибо.
13.08.2011 22:25:06, Rin_abz.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19219/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19219/ Sat, 13 Aug 2011 22:25:06 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
лог чистый,
выполните наши рекомендации по безопасной работе в сети.
http://forum.esetnod32.ru/forum9/topic751/
13.08.2011 22:14:54, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19218/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19218/ Sat, 13 Aug 2011 22:14:54 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот лог. Все ОК. Спасибо большое. Порекомендую этот форум всем своим друзьям, если можно.
Да и рабочий комп надо проверить.
mbam-log-2011-08-13 (23-10-43).txt
13.08.2011 21:15:56, Rin_abz.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19216/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19216/ Sat, 13 Aug 2011 21:15:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделайте лог малваребайт для проверки
http://forum.esetnod32.ru/forum9/topic682/
13.08.2011 15:46:43, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19201/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19201/ Sat, 13 Aug 2011 15:46:43 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
ну, что можно сказать. баннера нет.

.
MBR чистый. userinit.exe так же чист.
13.08.2011 15:46:03, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19200/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19200/ Sat, 13 Aug 2011 15:46:03 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сейчас в принципе все нормально. Ловил как-то баннер (давно было). Удалили мне его, а сейчас вот нашел ваш форум, решил проверить систему, если можно. Вот.
13.08.2011 15:28:46, Rin_abz.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19197/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19197/ Sat, 13 Aug 2011 15:28:46 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
@Rin_abz, кратко опишите в чем проблема по системе?
13.08.2011 08:47:04, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19185/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19185/ Sat, 13 Aug 2011 08:47:04 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добрый день!
Хотел отправить Вам файл образа автозапуска, не могу прикрепить.

Получилось потом добавить, что-то с Инетом.
MININT-403L8Q3_2011-08-13_09-57-49.rar
13.08.2011 08:25:22, Rin_abz.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19183/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19183/ Sat, 13 Aug 2011 08:25:22 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
Я думаю, до этого скрипта было некорректное лечение,
вместе с файлами локера удалили и параметр реестра из которой Explorer загружает рабочий стол.
вот из этой ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
был удален параметр
Shell
в котором должно быть значение Explorer.exe
----------------
вопрос: каким образом были удалены файлы локера?

- вручную используя ERD 2005
- Live.CD, которые используют автоматическую очистку
- другие варианты
=============
Вы правы, лечение производилось из второй системы windows7: запускал такую программу, как Dr.Web CureIt! и Agent trojan cleaner,но CureIt! не корректно себя повела в системе и произошло отключение ПК на 50% сканирования,а Agent trojan cleaner не выявил угроз. Возможно это как-то повлияло на реестр.
12.08.2011 14:17:43, TumblerKh.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19166/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19166/ Fri, 12 Aug 2011 14:17:43 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
Я думаю, до этого скрипта было некорректное лечение,
вместе с файлами локера удалили и параметр реестра из которой Explorer загружает рабочий стол.
вот из этой ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
был удален параметр
Shell
в котором должно быть значение Explorer.exe
----------------
вопрос: каким образом были удалены файлы локера?

- вручную используя ERD 2005
- Live.CD, которые используют автоматическую очистку
- другие варианты
12.08.2011 12:52:29, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19160/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19160/ Fri, 12 Aug 2011 12:52:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
похоже, ключ winlogon\shell совсем удален.
выполните скрипт в uVS из под winPE, возможно, восстановится в нормальное состояние ветка реестра winlogon
перезагрузка,
пишем результат.
=============
Результат положительный, рабочий стол загрузился, все на месте.
12.08.2011 11:15:50, TumblerKh.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19158/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19158/ Fri, 12 Aug 2011 11:15:50 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
похоже, ключ winlogon\shell совсем удален.
выполните скрипт в uVS из под winPE, возможно, восстановится в нормальное состояние ветка реестра winlogon
перезагрузка,
пишем результат.
scr18.txt
12.08.2011 09:56:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19154/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19154/ Fri, 12 Aug 2011 09:56:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
система для исследования выбрана не верно.
Необходимо в стартовом меню нажать на пункт "выбрать каталог Windows", открыть диалог выбора каталога системы,
и выбрать каталог с Win с вашего жесткого диска.
-----
повторите создание образа.
=============
Повторный образ.
MININT-6JDPD4C_2011-08-12_07-56-28.TXT
12.08.2011 09:08:42, TumblerKh.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19153/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19153/ Fri, 12 Aug 2011 09:08:42 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
система для исследования выбрана не верно.
Необходимо в стартовом меню нажать на пункт "выбрать каталог Windows", открыть диалог выбора каталога системы,
и выбрать каталог с Win с вашего жесткого диска.
-----
повторите создание образа.
11.08.2011 23:52:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19144/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19144/ Thu, 11 Aug 2011 23:52:14 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
Чтобы не создавать подобную тему,заразил свой компьютер данным вирусом.
Создал образ автозапуска из под WinPe,
после перезагрузки рабочий стол не доступен по прежнему.
MININT-OQJOI3N_2011-08-11_21-26-15.TXT
11.08.2011 22:37:25, TumblerKh.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message19140/ http://forum.esetnod32.ru/messages/forum6/topic2103/message19140/ Thu, 11 Aug 2011 22:37:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
IGR пишет:
Здравствуйте!
Поймал анологичный банер.
=============
выполните скрипт в uVS из под Winpe,
после перезагрузки,
проверить доступ к рабочему столу, пишем результат,
если доступ к рабочему столу есть,
В папке с программой UVS (c:\$uvs285) будет папка zoo, ее поместить в архив, установить пароль infected и прислать сюда virusesnod32@gmail.com
также
обновите антивирус, выполните полное сканирование системы,
добавить на форум новый образ автозапуска uVS
ждем новых рекомендаций.
script.txt
09.07.2011 07:12:17, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message18137/ http://forum.esetnod32.ru/messages/forum6/topic2103/message18137/ Sat, 09 Jul 2011 07:12:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Winlock Winlock в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!

Поймал анологичный банер.
MININT-0SP5GJN_2012-07-08_22-46-51.TXT
08.07.2011 23:05:01, IGR.]]> http://forum.esetnod32.ru/messages/forum6/topic2103/message18126/ http://forum.esetnod32.ru/messages/forum6/topic2103/message18126/ Fri, 08 Jul 2011 23:05:01 +0400 Обнаружение вредоносного кода и ложные срабатывания