Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Последствия Trojan.Winlock.591 (592)

Ответить
Настройки темы
[решено] Последствия Trojan.Winlock.591 (592)

Пользователь


Сообщения: 123
Благодарности: 0

Профиль | Отправить PM | Цитировать

Изменения
Автор: Razey
Дата: 13-06-2023
Здравствуйте!
На компе (ноутбук Toshiba Satellite A100-906) 2 операционки: WinXP Home SP3 + Win 7 x64. Под Win 7 x64 подхватил Trojan.Winlock.591 (или 592). Случилось это при загрузке обновления Flash Player при просмотре порно. После появления всем известного окна пытался сгенерить ключ на сайте Drweb ("Разблокировка Windows (Trojan.Winlock)), но ни один не подошел. Далее загрузился под WinXP, скачал CureIt и просканировал весь HDD. Был найден вышеупомянутый Trojan.Winlock.591 (или 592, на память точно не помню, а лога нет - вроде как удалил). Удалил его. После перезагрузки под Win 7 x64 не работал диспетчер задач и интернет ни через один браузер (стоят Mozilla Firefox и IE8), хотя до появления вируса все было нормально. Нашел на oszon'e похожие проблемы и смог восстановить работоспособность диспетчера задач: поставил значение 1 вместо 0 в реестре по пути: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system\disableTaskMgr
По правилам форума попытался сделать логи с помощью программ AVZ, HijackThis и AVPTool, но:
1). В AVZ при выборе "Установить драйвер расширенного мониторинга процессов" ничего не произошло (т.е. он, по-видимому, не установился), но я все же сделал логи (прилагаю);
2). AVPtool "отказался" делать отчет - выдал лог примерно из 17 пунктов (прилагаю);
3). HiJackThis - отработал нормально (логи тоже прилагаю).

P.S. Могу перезалить и WinXP, и Win 7 x64 (есть образы в Acronis True Image), но хочу вылечить систему, переустановка - не панацея. Поможете?

Отправлено: 22:26, 28-01-2010

 

Модератор


Moderator


Сообщения: 16848
Благодарности: 3247

Профиль | Сайт | Отправить PM | Цитировать

• Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
- Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.

HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код: Выделить весь код
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\Yefim\AppData\Local\Temp\nfc490C.tmp
O10 - Broken Internet access because of LSP provider 'c:\users\yefim\appdata\roaming\microsoft\windows\cookies\userlib.dll' missing
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Yefim\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll','');
 DeleteFile('C:\Users\Yefim\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(14);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

-------
При заполнении сведений о конфигурации компьютера не забудь поставить флажок: отображать - "Да"
-------------------------------------------------------------------------------------------
Ассоциация VirusNet - помощь и обучение борьбе с вирусами. Некоторые вопросы загрузки в моем блоге

Это сообщение посчитали полезным следующие участники:

Отправлено: 23:02, 28-01-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 123
Благодарности: 0

Профиль | Отправить PM | Цитировать

Сделал все как вы написали:

1. Пофиксил в HijackThis, но после выполнения строк выдал следующее: "...HijackThis cannot repair 010 Winsock LSP entries. You should use LSPFix for that, which is available from: http:\\www.cexx.org\\lspfix.htm

2. Во время выполнения скрипта AVZ система выдала ошибку (лог прилагаю, crash_avz.rar), повисла, не смогла перегрузиться и выдала окно с 2-мя вариантами: закрытием программы и ее отладкой. При выборе любого из 2-х прога выключалась, однако записал (с экрана) лог, который она в своем окне выдавала (может быть, как-то поможет):

Функция user.dll:BlockInput (1517) перехвачена, метод APICodeHijack.JumpTo[1000AF66]>>>> Код руткита в функции BlockInput нейтрализован

Функция user32.dll:DefDlgProcA(1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D1 Перехватчик user32.dll:DefDlgProcA(1657), нейтрализован

и т.д.

4. Сгенерированный файл quarantine.zip на newvirus@kaspersky.com отправил

Последний раз редактировалось Razey, 13-06-2023 в 11:35.

Отправлено: 01:58, 29-01-2010 | #3


Модератор


Moderator


Сообщения: 16848
Благодарности: 3247

Профиль | Сайт | Отправить PM | Цитировать

Razey, повторите скрипт в таком виде
Код: Выделить весь код
begin
 QuarantineFile('C:\Users\Yefim\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll','');
 DeleteFile('C:\Users\Yefim\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(14);
RebootWindows(true);
end.

-------
При заполнении сведений о конфигурации компьютера не забудь поставить флажок: отображать - "Да"
-------------------------------------------------------------------------------------------
Ассоциация VirusNet - помощь и обучение борьбе с вирусами. Некоторые вопросы загрузки в моем блоге

Это сообщение посчитали полезным следующие участники:

Отправлено: 07:21, 29-01-2010 | #4


Пользователь


Сообщения: 123
Благодарности: 0

Профиль | Отправить PM | Цитировать

Скрипт выполнил. После перезагрузки интернет под х64 заработал. Пришел ответ от ЛК на посланный еще вчера файл (новый quarantine.zip не формировал) - вирусов в файле нет.

Спасибо, okshef , сильно выручили.

Последний раз редактировалось Razey, 29-01-2010 в 18:23. Причина: Исправление имени модератора

Отправлено: 18:22, 29-01-2010 | #5



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Последствия Trojan.Winlock.591 (592)

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Еще один Winlock (возможно остались последствия) SANIOK_AV Лечение систем от вредоносных программ 8 10-12-2009 21:53
[решено] обнаружены вирусы Trojan.Win32.Patched.fr и Trojan.Win32.ВНО.isy levss_09 Лечение систем от вредоносных программ 6 25-11-2009 23:00
Trojan.Winlock.366 вылечен, но не работает настройка сетевых подключений Aka Andrey Лечение систем от вредоносных программ 3 27-10-2009 23:02
EventID - 592 - Security Flooper Устранение критических ошибок Windows 0 07-04-2009 15:45
trojan.pandex, trojan.horse, hacktool.proxy YDen Лечение систем от вредоносных программ 1 14-11-2008 21:22


« Предыдущая тема | Следующая тема »


 
Переход