IPB

Welcome Guest ( Log In | Register )

 
Closed TopicStart new topic
> winlocker
lcf-nn
post 27.05.2012 18:18
Post #1


Member
**

Group: Members
Posts: 20
Joined: 4.04.2009




Здравствуйте. Пожалуйста помогите поймал winlocker удалось запустить виндоус в безопасном режиме с поддержкой коммандной строки выполнил скрипт в avz файл прикрепляю.
Attached File(s)
Attached File  KL_syscure.zip ( 11,35K ) Number of downloads: 3
 
Go to the top of the page
 
+Quote Post
thyrex
post 27.05.2012 19:52
Post #2


Helper
***************

Group: Moderators
Posts: 23882
Joined: 16.02.2008
From: Soligorsk, Belarus




Выполните скрипт из вложения в AVZ
Компьютер перезагрузится.

Выполните скрипт в AVZ
CODE
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи в обычном режиме



Attached File(s)
Attached File  script.txt ( 1,7K ) Number of downloads: 3
 


--------------------
Go to the top of the page
 
+Quote Post
lcf-nn
post 27.05.2012 20:43
Post #3


Member
**

Group: Members
Posts: 20
Joined: 4.04.2009




Вот ответ и что мне делать дальше?

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

produkey.exe - not-a-virus:PSWTool.Win32.ProductKey.bq

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

С уважением, Лаборатория Касперского

"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

produkey.exe - not-a-virus:PSWTool.Win32.ProductKey.bq

This file is already detected by our extended bases as a potentially risk program. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

Best Regards, Kaspersky Lab

"10/1, 1st Volokolamsky Proezd, Moscow, 123060, RussiaTel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
From: lcf-nn@mail.ru
Sent: 27.05.2012 16:24:14
To: newvirus@kaspersky.com
Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]


LANG: ru
email: lcf-nn@mail.ru

description:
Выполняется запрос хелпера

Загруженные файлы:
quarantine.zip
Go to the top of the page
 
+Quote Post
thyrex
post 28.05.2012 09:41
Post #4


Helper
***************

Group: Moderators
Posts: 23882
Joined: 16.02.2008
From: Soligorsk, Belarus




Написано ведь
QUOTE(thyrex @ 27.05.2012 18:52) *
Сделайте новые логи в обычном режиме



--------------------
Go to the top of the page
 
+Quote Post
lcf-nn
post 28.05.2012 19:40
Post #5


Member
**

Group: Members
Posts: 20
Joined: 4.04.2009




так обычный режим у меня не грузится только безопасный с поддержкой командной строки
Go to the top of the page
 
+Quote Post
thyrex
post 29.05.2012 00:46
Post #6


Helper
***************

Group: Moderators
Posts: 23882
Joined: 16.02.2008
From: Soligorsk, Belarus




Даже после выполнения скрипта?


--------------------
Go to the top of the page
 
+Quote Post
lcf-nn
post 29.05.2012 19:06
Post #7


Member
**

Group: Members
Posts: 20
Joined: 4.04.2009




да до сих пор у меня когда скрипт выполнялся какие то ошибки там мелькали

This post has been edited by lcf-nn: 29.05.2012 19:16
Go to the top of the page
 
+Quote Post
thyrex
post 29.05.2012 22:10
Post #8


Helper
***************

Group: Moderators
Posts: 23882
Joined: 16.02.2008
From: Soligorsk, Belarus




I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.


--------------------
Go to the top of the page
 
+Quote Post
lcf-nn
post 30.05.2012 00:00
Post #9


Member
**

Group: Members
Posts: 20
Joined: 4.04.2009




userinit- c:\windows\system32\userinit.exe,
shell-explorer.exe

Attached File(s)
Attached File  2reg.rar ( 922bytes ) Number of downloads: 2
 
Go to the top of the page
 
+Quote Post
thyrex
post 30.05.2012 00:05
Post #10


Helper
***************

Group: Moderators
Posts: 23882
Joined: 16.02.2008
From: Soligorsk, Belarus




Вот Ваш блокировщик
CODE
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"S751099"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"
"S13111537"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"
"S6719856"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"
"S11812163"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"
"S9280104"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"
"S17878101"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"



--------------------
Go to the top of the page
 
+Quote Post
lcf-nn
post 30.05.2012 15:59
Post #11


Member
**

Group: Members
Posts: 20
Joined: 4.04.2009




Большое спасибо удалил все заработало
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic

 



Lo-Fi Version Time is now: 2.10.2014 12:24