Varyag Опубликовано 25 мая, 2010 Жалоба Поделиться Опубликовано 25 мая, 2010 Вот такая напасть на одном из рабочих компьютеров. Вчера вечером появился вирус требует отправить смс на номер 3381. Появляется и в безопасном режиме. Откат системы и regedit он отключил. При запуске HijackThis или AVZ компьютер выключается (пробовал переименовывать файлы - не помогает), а другие программы (SpyDLLRemover, Runscanner) не запускаются. Но каким-то чудом можно запустить jv16 PowerTools 2006. В этой версии нет менеджера реестра (т.е. подобного regedit), но по крайней мере есть поиск по реестру. Проверил ключ Userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Он имеет стандартное значение "C:\Windows\system32\userinit.exe". В ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows в параметре AppInit_DLLs оказалось вот такое заковыристое значение "C:\WINDOWS\system32\c_874.nls:c5AKakzfOA" Что бы это могло значить? И куда теперь копать? Прошу помощи в избавлении от заразы. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 25 мая, 2010 Жалоба Поделиться Опубликовано 25 мая, 2010 А ведь даже тема есть специальная... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
шпилька Опубликовано 25 мая, 2010 Жалоба Поделиться Опубликовано 25 мая, 2010 Varyag, и эту тему почитай. Удачи! :rolleyes: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Varyag Опубликовано 27 мая, 2010 Автор Жалоба Поделиться Опубликовано 27 мая, 2010 Прошу прощения, что долго не отвечал и спасибо всем посодействовавшим. Yezhishe: я, конечно же, выполнил те рекомендации, но безрезультатно. Причем я особо и не надеялся. Я уже 4 раза сталкивался с подобными вирусами и ни разу данные сервисы не были полезными. шпилька: вирус оказался один в один похож на мой, за исключением текста отправления. Единственным возможным средством борьбы с этим вырусом была правка реестра из ERD Commander. Но очищение значения ключа AppInit_DLLs, как советовали в той теме, ничего не дало. Итогом всего было указание просто переустановить систему, так как компьютер был нужен срочно. После этих мытарств у меня сформировалось пожелание - создать тему в которой были бы перечислены все (или хотя бы основные) ключи реестра, отвечающие за автозагрузку и в которых особенно часто прописываются вирусы. Прочитав несколько тем на форуме я узнал, несколько таких (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows) но информация о них была разрознена и собирать ее было очень затратно по времени. А ведь есть еще и другие. И было бы здорово, чтобы информацию о них была вынесена в отдельную тему, там же можно было бы прописать основы приемы работы с ERD Commander в случае вирусного заражения. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 27 мая, 2010 Жалоба Поделиться Опубликовано 27 мая, 2010 Но очищение значения ключа AppInit_DLLs, как советовали в той теме, ничего не дало.Очистка значеня параметра и переименование файла должны были позволить приступить к выполнению правил ;) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Varyag Опубликовано 28 мая, 2010 Автор Жалоба Поделиться Опубликовано 28 мая, 2010 Переименование?! А вот это я упустил :sm(100): Ладно, в следующий раз постараюсь быть внимательнее. Хотя надеюсь, что такого "следующего раза" не будет :bye1: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
mesir Опубликовано 20 июня, 2010 Жалоба Поделиться Опубликовано 20 июня, 2010 (изменено) Вот такая напасть на одном из рабочих компьютеров. Вчера вечером появился вирус требует отправить смс на номер 3381. Появляется и в безопасном режиме. Откат системы и regedit он отключил. При запуске HijackThis или AVZ компьютер выключается (пробовал переименовывать файлы - не помогает), а другие программы (SpyDLLRemover, Runscanner) не запускаются. Но каким-то чудом можно запустить jv16 PowerTools 2006. В этой версии нет менеджера реестра (т.е. подобного regedit), но по крайней мере есть поиск по реестру. Проверил ключ Userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Он имеет стандартное значение "C:\Windows\system32\userinit.exe". В ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows в параметре AppInit_DLLs оказалось вот такое заковыристое значение "C:\WINDOWS\system32\c_874.nls:c5AKakzfOA" Что бы это могло значить? И куда теперь копать? Прошу помощи в избавлении от заразы. Есть такая чудная прога RansomHide, дает ответ на многие вопросы. Ответ на <censored> - текст <censored>! . И все танцы с бубнами в реестре отпадают. Удачи! Изменено 20 июня, 2010 пользователем Yezhishe Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.