![]() |
Новый порно-информер!
Доброго времени суток. У меня такая проблема. С чего все началось, захотел я найти вирус IM-Worm.Win32.VB.ev, ну установил vmware 7, поставил на неё windows xp prof sp3, и голиком (без антивируса, фаервола и т.п.) оправился по просторам интернета в частности порно видео. Поймал порноинформер вот такой http://www.imget.ru/images/2009/11/17/POutJeA3Wr.jpg. Закрывает при загрузке весь экран нельзя нажать ни пуск ничего другого, диспетчер задач заблокирован. Мои действия порылся тут http://news.drweb.com/show/?i=304&c=5, там не нашел, качал отсюда офлайн форму, там тоже нет, загрузил последний LiveCD от DR. Web просканировал им, он ничего не нашел, скопировал из под дос все папки и файлы на флешку и потом флешку просканировал KAV 9.0.463 с последними базами - тоже ничего, с windows PE запусти утилиту AVZ и просканировал диск С, тоже ничего не нашла, с под самой винды возможности нет сделать логи или запустить какую либо утилиту, потомучто экран закрыт полностью и не работает ни alt+tab ни alt+F4. У кого какие есть предложения по этому поводу?
Забыл добавить есть файлик - причина заражения, файл exe - его я проверял и каспером и вебом, оба говорят файл безвредный. |
Выложите логи в соответствии с этими инструкциями.
|
И как я по вашему должен сдеть логи, если я не вижу рабочего стола, даже и маленького кусочка рабочего стола?
|
Цитата:
Или попробуйте в безопасном режиме зайти. Или же просканируйте АВЗ вашу флэшку с файлами с компа. Может тогда получится сказать вам что удалить. |
В безопасном режиме окно не убирается, т.е. безопасный режим ничем не отличается от обычного, на windowsPE удалось сделать логи только AVZ, HijackThis почемуто не запускается.
|
По моему вы просканировали сам диск windowsPE .
|
Цитата:
Попробуйте это сделать http://virusinfo.info/showthread.php?t=51777 |
Прошу прощенье за долгое молчание.
Цитата:
Цитата:
|
Ура товарищи!
Значит решение такое. 1.Загружаемся с любого Live CD, где есть возможность редактирования реестра. 2.Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config). 3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть). 4. Введите имя для раздела, который вы загрузили, например, MyHive. 5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Shell должен быть такой explorer.exe, вмсесто него вы надете путь и файл который надо удалить. 6. Не забудьте выгрузить куст 7. Разблокируйте диспетчер задач. В Реестре Windows в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалите параметр DisableTaskMgr. Примечание. Поставил касперского 2010 с базами на 18.11.2009 просканировал всю систему - он ничего не нашел. Попробовал этот файлик запустить при включенном касперском и как и ожидалось касперу по барабану, порноинформер вылез по новой. P.S. Спасибо thyrex, если бы он не заставил полезть в раздел реестра winlogon я бы ничего не увидел. PP.SS. Кому интересно могу прислать этот порноинформер. |
Для совсем ленивых!
Можно загрузиться в "безопасном режиме с поддержкой командной строки" и запустить мою программку. :) Вирусы запрещено присоединять к сообщению. |
Цитата:
Цитата:
|
Цитата:
Касперскому отослал и уже пришел ответ. Цитата:
|
Цитата:
|
Время: 02:52. |
Время: 02:52.
© OSzone.net 2001-