Jump to content

Recommended Posts

lcf-nn   

Здравствуйте. Пожалуйста помогите поймал winlocker удалось запустить виндоус в безопасном режиме с поддержкой коммандной строки выполнил скрипт в avz файл прикрепляю.

KL_syscure.zip

Share this post


Link to post
Share on other sites
thyrex   

Выполните скрипт из вложения в AVZ

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи в обычном режиме

 

 

script.txt

Share this post


Link to post
Share on other sites
lcf-nn   

Вот ответ и что мне делать дальше?

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

produkey.exe - not-a-virus:PSWTool.Win32.ProductKey.bq

 

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

 

С уважением, Лаборатория Касперского

 

"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

 

produkey.exe - not-a-virus:PSWTool.Win32.ProductKey.bq

 

This file is already detected by our extended bases as a potentially risk program. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

 

Best Regards, Kaspersky Lab

 

"10/1, 1st Volokolamsky Proezd, Moscow, 123060, RussiaTel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

 

 

--------------------------------------------------------------------------------

From: lcf-nn@mail.ru

Sent: 27.05.2012 16:24:14

To: newvirus@kaspersky.com

Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]

 

 

LANG: ru

email: lcf-nn@mail.ru

 

description:

Выполняется запрос хелпера

 

Загруженные файлы:

quarantine.zip

Share this post


Link to post
Share on other sites
thyrex   

Написано ведь

Сделайте новые логи в обычном режиме

 

Share this post


Link to post
Share on other sites
lcf-nn   

так обычный режим у меня не грузится только безопасный с поддержкой командной строки

Share this post


Link to post
Share on other sites
lcf-nn   

да до сих пор у меня когда скрипт выполнялся какие то ошибки там мелькали

Edited by lcf-nn

Share this post


Link to post
Share on other sites
thyrex   

I этап (выполняется на чистой от вирусов машине)

 

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)

2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

 

II этап (выполняется на заблокированной машине)

 

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)

2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:

– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter

– выберите необходимый язык из списка

– нажмите 1, чтобы принять лицензионное соглашение

– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола

3. Запустите Kaspersky Registry Editor

4. Откроется редактор реестра

– выберите нужную систему (та, которая заблокирована), если у Вас их несколько

– посмотрите в реестре:

ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр userinit

параметр shell

Значения этих параметров напишите в своем сообщении

 

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.

 

Share this post


Link to post
Share on other sites
thyrex   

Вот Ваш блокировщик

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"S751099"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"
"S13111537"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"
"S6719856"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"
"S11812163"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"
"S9280104"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"
"S17878101"="C:\\Users\\Администратор\\ 0.42760079520238814.exe"

 

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

×