Вот мой отчёт по проделанной работе.

Вооружившись флешкой с ERD Commander, кучей лайв-дисков и антивирусов поехал к своей знакомой лечить её комп c Windows 7 от Trojan.Winlock.3278 (что именно он, узнал по описанию, см. http://foto.mail.ru/...html..., или рисунок в посте #223670, только номер телефона указан был другой - 89897520691).

Но как оказалось, я переоценил её комп – он не поддерживал загрузку с USB-Flash. К тому же в моей коллекции нет лайв-CD Windows 7. Я загрузился с LiveXP и стал искать userinit.exe, taskmgr.exe, 22CC6C32.exe.

По адресу C:\Windows\System32\ удалить userinit.exe, taskmgr.exe не смог (впрочем и хорошо наверное). Зато сделал так:

• удалил 22CC6C32.exe в C:\ProgramData\

• удалил QQ555555555.exe в C:\ProgramData\

• cкопировал заранее приготовленный userinit.exe (для Windows 7 максимальная x32 SP1 rus) в C:\ProgramData\ и переименовал его в 22CC6C32.exe

• перезагрузился с диска С (баннера не было, но и рабочего стола не было)

• вызвал диспетчер задач – получилось

• в диспетчере: файл->новая задача(выполнить)->regedit

• по адресу Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon нашёл Shell и Userinit, в обоих был путь C:\ProgramData\22CC6C32.exe, исправил его соответственно на Explorer.exe и Userinit.exe

Как только нажал Enter, после изменения значения ключа Shell на Explorer.exe, тут же появился рабочий стол. Пробежался утилитой Cureit по всем подозрительным местам – ничего. Далее, чтобы удостовериться не инфицирован ли Userinit в System32 сделал перезагрузку - всё нормально, скачал новейшую Cureit и ей уже сканировал досконально. Нашлось несколко других троянов, не винлоков, какай-то «бутират». После этого запустился Internet Explorer (знакомая около месяца пользовалась мозиллой, т.к IE “почему-то не запускался”). Собственно всё. До сих пор жалоб нет.

Я пока плохо разбираюсь в Windows 7, поэтому не знаю правильно ли, что нельзя удалять-перезаписывать ничего в папке Windows, или это последствия вмешательства винлока и нужно восстановить работоспособность системы с помощью AVZ. Может собственно потому Userinit.exe в System32 остался оригинальным? Да и в Windows 7 нет с:\WINDOWS\System32\dllcache\, может ещё где-то нужно смотреть, впрочем Cureit болше ничего не нашла.

У знакомой стоял бесплатный DrWeb AvDesktop, правда не обновлялся из-за ошибки. Удалить его нельзя тоже из-за ошибки. Пока оставил всё как есть.

Да, и нужно ли обращать внимание на pf файлы в C:\Windows\Prefetch\ и на содержимое C:\Windows\winsxs\ ?

..................................................................

Архив с вирусом и подозрительными файлами здесь http://share.bashtel.ru/... Там ещё не распознанные антивирусом Ben 10_ Alien Force_2010612-.rar.exe и GuardGuard.exe, но с датой создания как раз как у 22CC6C32.exe, и из той же папки. Мож через них заразило?

..................................................................

"KapitulireN,

• "Я пока плохо разбираюсь в Windows 7, поэтому не знаю правильно ли, что нельзя удалять-перезаписывать ничего в папке Windows, или это последствия вмешательства винлока"
• Тоже недавно убирал парнише. У него Vista, так же не мог удалить файл Userinit и даже не пускал в некоторые папки, был закрыт доступ. Нужно сразу было посмотреть в свойства Userinit. Ну до этого у него столько проблему было, что даже на правую кнопку не мог нажать. Короче он скопировал Usrinit и залил мне его, я его просканировал на доктор вэб - всё ок. Понял то, что мне кажется, он не изменил либо из - за системы, либо из-за антивируса. А может и винлок модифицирующий.

• "Да, и нужно ли обращать внимание на pf файлы в C:\Windows\Prefetch\" Это временные файлы, можно почистить от туда всё. А также тут -
• С:\WINDOWS\Temp
• С:\Documents and Settings\профиль пользователя\Local Settings\Temp Лучше через тотал коммандер последнею папку, так как она скрытая.

Спасибо!

Что-то сразу не догадался проверить в доктор вэб он-лайн. Все найденные userinit.exe, taskmgr.exe согласно последним базам - безвредны. 22CC6C32.exe, QQ555555555.exe - Trojan.Winlocker.3445 0.9657218778377226.exe, netprotocol.exe - Backdoor.Butirat.18

Похоже винлокер пока не может подменить в Семёрке собой системные файлы, но реестр уязвим.

..................................................................

>> сразу было посмотреть в свойства Userinit.

Какие свойства? Размер, дата, атрибуты, подписи?

KapitulireN 03.06.2011 17:18:
>> сразу было посмотреть в свойства Userinit.

Какие свойства? Размер, дата, атрибуты, подписи?

>>•С:\Documents and Settings\профиль пользователя\Local Settings\Temp Лучше через тотал коммандер последнею папку, так как она скрытая.

Нет в Windows 7 такой. Чистить надо

• C:\Users\"юзер"\AppData\Local\Temp\

..................................................................

Здравствуйте, мистер Тыква! Знакомый поймал банер. Банер синего цвета с голубой полосой в середине, просит пополнить на 500р на №89181075349 или 8989752 0749 Мтс

помогите кто нить избавиться от банера на весь экран просит смс безопасный режим не помогает

strongxold Номер 989 ?

помогите пожалуйста

надо положить 400 рублей на номер 8 918 107 63 65 МТС

все уже перебробовал немогу(

синего цвета с голубой полосой по средеине(

http://foto.mail.ru/...html...

pomogite.plz 07.06.2011 17:10:
http://foto.mail.ru/...html...

Загрузиться с Live cd или ERD commander можете? Подключить винт к другой машине?

Номер 89897520746. http://foto.mail.ru/mail... вот так выглядит кроме номера. Можно по подробней описывать процесс лечения, как я понял через LiveCD, но я понятия не имею, что это такое...

Здравствуйте...оч нужна ваша помощь!я впоймал trojan.winlock.3278,напишите пожалуйста пошаговую инструкцию(понятную для юзера)как удалить этот банер...буду оч благодарен..ОС Windows 7 p.s.последняя надежда на умных рдбят)

Владимир123456 08.06.2011 02:14:
Номер 89897520746. http://foto.mail.ru/mail... вот так выглядит кроме номера. Можно по подробней описывать процесс лечения, как я понял через LiveCD, но я понятия не имею, что это такое...

• И

madiS 08.06.2011 03:34:
Здравствуйте...оч нужна ваша помощь!я впоймал trojan.winlock.3278,напишите пожалуйста пошаговую инструкцию(понятную для юзера)как удалить этот банер...буду оч благодарен..ОС Windows 7 p.s.последняя надежда на умных рдбят)

http://rghost.ru/9324771

на виндоус ХР поможет?

pomogite.plz 08.06.2011 15:05:
на виндоус ХР поможет?

Это инструкция именно для этого винлока!

Спасибо большое!)

Здравствуйте, друг зацепил Trojan.Winlock.3481, вот такого вида, только номер другой (номер - 967 069 70 72) вот скриншот - http://foto.mail.ru/...html... Подскажите где код взять, пжлста)

littleman 08.06.2011 21:46:
Здравствуйте, друг зацепил Trojan.Winlock.3481, вот такого вида, только номер другой (номер - 967 069 70 72) вот скриншот - http://foto.mail.ru/...html... Подскажите где код взять, пжлста)

• Код: WALKER
• код: LOLA

А как вводить, поочереди или и тот и другой пробовать? всё заглавными буквами или можно прописью?

Может поочереди вводить?

littleman 08.06.2011 22:21:
Может поочереди вводить?

Как видите так и вводите. Сначала один, если не подойдёт, тогда пробуйте второй.

littleman 08.06.2011 21:46:
Здравствуйте, друг зацепил Trojan.Winlock.3481, вот такого вида, только номер другой (номер - 967 069 70 72) вот скриншот - http://foto.mail.ru/...html... Подскажите где код взять, пжлста)

• Можете сохранить файл вируса и переслать мне его помучить? zaruta-66@mail.ru
• Я найду способ избавления без ввода всяких кодов....

grinopas 09.06.2011 04:30:

littleman 08.06.2011 22:21:
Может поочереди вводить?

Как видите так и вводите. Сначала один, если не подойдёт, тогда пробуйте второй.

Не вышло таким образом

Подскажите код от вируса с номером 89653471441

уже весь день коды ввожу разные и безполезно:-(

Сан63 09.06.2011 16:34:
уже весь день коды ввожу разные и безполезно:-(

Скажи какой http://foto.mail.ru/mail...

Номер 89653471441

Помоги если можешь

Сан63 09.06.2011 17:00:
Номер 89653471441

нафиг мне номер? По картинкам какой?

Здраствуйте,поймал вирус,иди это баннер не знаю даже как назвать,заблокировал доступ к инету.Заходиш на сайты т.к Контакт,Мэйл,Ютуб и т д,пишет :Доступ к сайту http://qip.ru заблокирован.Далее в рамке следущий текст,Для возобновления доступа пожалуйста пройдите процедуру разблокирования. Вам необходимо отправить смс сообщение на номер 1350 с текстом 3101909. В ответном смс сообщении вы получите код для разблокировки, который необходимо ввести в специальную форму ниже. Что делать если смс не отравляется? Код активации:

Кто знает как убрать этот бред,отпишитесь,плиз!

Картинка синяя по середине голубая

littleman 09.06.2011 12:49:

grinopas 09.06.2011 04:30:

littleman 08.06.2011 22:21:
Может поочереди вводить?

Как видите так и вводите. Сначала один, если не подойдёт, тогда пробуйте второй.

Не вышло таким образом

грузитесь с ERD

• http://narod.ru/disk...html... Она для xp

Сан63, Вам трудно ссылку на картинку скинуть? Там таких синий по середине уйма....

Qqlessmore 09.06.2011 17:43:
Здраствуйте,поймал вирус,иди это баннер не знаю даже как назвать,заблокировал доступ к инету.Заходиш на сайты т.к Контакт,Мэйл,Ютуб и т д,пишет :Доступ к сайту http://qip.ru заблокирован.Далее в рамке следущий текст,Для возобновления доступа пожалуйста пройдите процедуру разблокирования. Вам необходимо отправить смс сообщение на номер 1350 с текстом 3101909. В ответном смс сообщении вы получите код для разблокировки, который необходимо ввести в специальную форму ниже. Что делать если смс не отравляется? Код активации:

Кто знает как убрать этот бред,отпишитесь,плиз!

Я конечно не силён в браузерных, но попробуйте скачать утилиту и проверится ею

• http://81.176.67.173/pub... Так же посмотрите файл host через блокнот, что там в неё есть? Ссылки какие нибудь...С:\WINDOWS\system32\drivers\etc

подскажите а как загркзить доктор вэю юсб с флэшки?

pomogite.plz 09.06.2011 19:40:
подскажите а как загркзить доктор вэю юсб с флэшки?

На флешку установите и ставьте в биосе загрузку с вашей флешки.. В инструкции вроде много чего написано, даже вроде как поставить загрузку, я конечно толком не читал :)

а биос это когда на f8 жмешь при загрузке или что?))

в этом плохо разбираюсь)

как вообще зайти в меню загрузок виндоус?

pomogite.plz 09.06.2011 19:47:
а биос это когда на f8 жмешь при загрузке или что?))

в этом плохо разбираюсь)

как вообще зайти в меню загрузок виндоус?

Сразу при включении компьютера жмите на delete обычна она или F2 Ну глазками посмотрите в начале загрузки какую клавишу просит нажать, ту и нажимайте. по инструкции там уже резберётесь как загрузку ставить...

Картинка синяя по середине голубая

grinopas 09.06.2011 19:51:

pomogite.plz 09.06.2011 19:47:
а биос это когда на f8 жмешь при загрузке или что?))

в этом плохо разбираюсь)

как вообще зайти в меню загрузок виндоус?

Сразу при включении компьютера жмите на delete обычна она или F2 Ну глазками посмотрите в начале загрузки какую клавишу просит нажать, ту и нажимайте. по инструкции там уже резберётесь как загрузку ставить...

Спасибо огромное))

Сан63 09.06.2011 19:53:
Картинка синяя по середине голубая

• Он?

а можете подсказать почему контроль центр не запускается?

он запускается и сразу исчезает

и обязательно ли делать сканирование?

pomogite.plz 09.06.2011 20:23:
а можете подсказать почему контроль центр не запускается?

он запускается и сразу исчезает

и обязательно ли делать сканирование?

• Что за контроль центр?
• Нет, где вы такое взяли, что сканирования нужно делать?
• Введения читайте - "Особенности заражения этим видом Винлока"

http://rghost.ru/9324771

Настройки Dr.Web LiveCD, доступные через пункт Settings системного меню, позволят указать параметры графической оболочки Openbox: цветовые темы, рабочий стол и т.п.

После запуска Центра Управления Dr.Web для Linux нажмите кнопку Сканер, далее выберите (отметьте) те диски или папки, которые вы хотите проверить, и нажмите на кнопку Start.

grinopas 09.06.2011 19:38:

Qqlessmore 09.06.2011 17:43:
Здраствуйте,поймал вирус,иди это баннер не знаю даже как назвать,заблокировал доступ к инету.Заходиш на сайты т.к Контакт,Мэйл,Ютуб и т д,пишет :Доступ к сайту http://qip.ru заблокирован.Далее в рамке следущий текст,Для возобновления доступа пожалуйста пройдите процедуру разблокирования. Вам необходимо отправить смс сообщение на номер 1350 с текстом 3101909. В ответном смс сообщении вы получите код для разблокировки, который необходимо ввести в специальную форму ниже. Что делать если смс не отравляется? Код активации:

Кто знает как убрать этот бред,отпишитесь,плиз!

Я конечно не силён в браузерных, но попробуйте скачать утилиту и проверится ею

• http://81.176.67.173/pub...

Так же посмотрите файл host через блокнот, что там в неё есть? Ссылки какие нибудь...С:\WINDOWS\system32\drivers\etc

В Хосте всё чисто

pomogite.plz 09.06.2011 20:47:
http://rghost.ru/9324771

Настройки Dr.Web LiveCD, доступные через пункт Settings системного меню, позволят указать параметры графической оболочки Openbox: цветовые темы, рабочий стол и т.п.

После запуска Центра Управления Dr.Web для Linux нажмите кнопку Сканер, далее выберите (отметьте) те диски или папки, которые вы хотите проверить, и нажмите на кнопку Start.

• Я вам указал что ван нужно делать, думаю всё ок.

Как залить сюда скрин моего блокера?