Новый Trojan.Winlock .. антивирусы не видят...сносить систему смерти равно помогите(

garrysoon · 08.01.2012, 19:04

Под пользователем Игорь зашел ..вылезает такое окно

только номер мошенника другой +79139512569

Под другими пользователями в обычном режиме все работает.. по виду ... но зараза то сидит((
Зашел в безопасном режиме... запустил CureIT эффект 0

от каспера приблуда... тоже 0

причем каспер стоял со всеми базами и поймал сей вир по ходу просто клацнув по ссылке www.nowa.cc у них там куча попандеров

удалил гада каспера за бесполезностью(

ПОМОГИТЕ ДРУЗЬЯ

логи Uvs http://rghost.ru/35799235

Angel-iz-Ada · 08.01.2012, 19:09

А логи как делали?

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код:

;;uVS v3.73 script [http://dsrt.dyndns.org]

delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\TEMP\222.EXE
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\TEMP\EULA.BAT
deltmp
delnfr
regt 12
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.

garrysoon · 08.01.2012, 19:14

логи делал из под другого пользователя )

Angel-iz-Ada · 08.01.2012, 19:16

странно что в другом пользователе не было баннера, он запускался вместо оболочки для всех
\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

garrysoon · 08.01.2012, 19:30

вот такой гад... теперь как бы его тело из под пользователя другого выковырять перед удалением для анализа антивирам?) в реестре нашел адрес ведущий в никуда?) C:\Users\D395~1\AppData\Local\Temp\222.exe кстати ветка классическая RUN))

---------- Добавлено в 18:27 ---------- Предыдущее сообщение было написано в 18:23 ----------

в папке RUN ключем этот адрес ... и не понятно как от этого спастись впредь(( вся защита пасует((

---------- Добавлено в 18:30 ---------- Предыдущее сообщение было написано в 18:27 ----------

забирается в комп не запуском файла а заходом по ссылке..караул

Angel-iz-Ada · 08.01.2012, 19:38

Зашел сейчас на главную того сайта - тишина. Ни на сайте баннеров - ни у меня
Скрипт выполнен был? Проблема решилась?

Цитата:

Сообщение от garrysoon

кстати ветка классическая RUN)

он еще и в Shell был

garrysoon · 08.01.2012, 19:45

ВСЕ РАВНО АНГЕЛУ ИЗ АДА ВЕЛИИКОЕ СПАСИИИБООО)

---------- Добавлено в 18:42 ---------- Предыдущее сообщение было написано в 18:39 ----------

возможно что на этой нове просто скрипт и подгружаются каж раз разная реклама, на одной из которых эта беда сидит...посмотрел по базам антивирусов только сегодня детектить начали

---------- Добавлено в 18:45 ---------- Предыдущее сообщение было написано в 18:42 ----------

да из SHELL УДАЛИЛ ТОЖЕ ключик ..вот хочу руками достать эту пакость... как бы добраться до папки через проводник.. что-то не пускает винда) ..под другим пользователем..вроде тож admin права

safety · 08.01.2012, 19:46

Java обновите до актуальной версии 6.30, у вас устаревшая версия 6.25

garrysoon · 08.01.2012, 19:49

Цитата:

Сообщение от safety

Java обновите до актуальной версии 6.30, у вас устаревшая версия 6.25

первый раз читаю что в этом может быть проблема( ну спасибо попробую

Angel-iz-Ada · 08.01.2012, 19:51

Цитата:

Сообщение от garrysoon

как бы добраться до папки через проводник

пуск-%temp%-ok
файла там уже нет. он удален

garrysoon · 08.01.2012, 19:54

не вижу гада..как удален, если я еще не запускал скрипт))? по такой команде вылезает временная папка текущего пользователя, а мне другого надо ..ИГОРЯ)

Angel-iz-Ada · 08.01.2012, 19:56

а, ну тогда будет на месте
в профиле Игоря ищешь надеюсь?

garrysoon · 08.01.2012, 20:07

сделал прощще ...удалил ключи ..перезагрузился... зашел под проблемной учеткой...и вот они.. 2 гада))

Angel-iz-Ada · 08.01.2012, 20:09

тоже вариант)

garrysoon · 08.01.2012, 20:25

как же все-таки они пробираются через мои бастионы безопасности)) неужто только юзерские права могут хоть как то уберечь))?
ведь ничего не качал ..не запускал.. и на тебе... совсем обурели зловреды

08.01.2012, 19:04	#1 (ссылка)
garrysoon Новичок Регистрация: 08.01.2012 Сообщений: 27 Репутация: 0	Новый Trojan.Winlock .. антивирусы не видят...сносить систему смерти равно помогите( Под пользователем Игорь зашел ..вылезает такое окно только номер мошенника другой +79139512569 Под другими пользователями в обычном режиме все работает.. по виду ... но зараза то сидит(( Зашел в безопасном режиме... запустил CureIT эффект 0 от каспера приблуда... тоже 0 причем каспер стоял со всеми базами и поймал сей вир по ходу просто клацнув по ссылке www.nowa.cc у них там куча попандеров удалил гада каспера за бесполезностью( ПОМОГИТЕ ДРУЗЬЯ логи Uvs http://rghost.ru/35799235

08.01.2012, 19:09	#2 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	А логи как делали? Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена Вставляем текст скрипта: Перед выполнением скрипта, закрыть браузеры! Код: ;;uVS v3.73 script [http://dsrt.dyndns.org] delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\TEMP\222.EXE delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\TEMP\EULA.BAT deltmp delnfr regt 12 restart И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проблема с зашифрованными данными, похоже на вирус, антивирусы не видят	steel	Windows 7	0	31.12.2011 11:54
Подскажите,после замены оперативной памяти,надо сносить и заново ставить систему???	Alexyes96	Железо	3	31.01.2011 23:29
Нужно ли сносить систему....	Dan-God	Windows XP	10	19.10.2010 13:00
Winlock.2194. видимо новый.	Xukcuk	Безопасность	3	10.09.2010 17:15
Люди добрые,помогите устранить Вирус,похож на Trojan.Winlock.2194	SSergei	Безопасность	26	22.08.2010 17:54

08.01.2012, 19:14	#3 (ссылка)
garrysoon Новичок Регистрация: 08.01.2012 Сообщений: 27 Репутация: 0	логи делал из под другого пользователя )

08.01.2012, 19:16	#4 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	странно что в другом пользователе не было баннера, он запускался вместо оболочки для всех \Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

08.01.2012, 19:30	#5 (ссылка)
garrysoon Новичок Регистрация: 08.01.2012 Сообщений: 27 Репутация: 0	вот такой гад... теперь как бы его тело из под пользователя другого выковырять перед удалением для анализа антивирам?) в реестре нашел адрес ведущий в никуда?) C:\Users\D395~1\AppData\Local\Temp\222.exe кстати ветка классическая RUN)) ---------- Добавлено в 18:27 ---------- Предыдущее сообщение было написано в 18:23 ---------- в папке RUN ключем этот адрес ... и не понятно как от этого спастись впредь(( вся защита пасует(( ---------- Добавлено в 18:30 ---------- Предыдущее сообщение было написано в 18:27 ---------- забирается в комп не запуском файла а заходом по ссылке..караул

08.01.2012, 19:45	#7 (ссылка)
garrysoon Новичок Регистрация: 08.01.2012 Сообщений: 27 Репутация: 0	ВСЕ РАВНО АНГЕЛУ ИЗ АДА ВЕЛИИКОЕ СПАСИИИБООО) ---------- Добавлено в 18:42 ---------- Предыдущее сообщение было написано в 18:39 ---------- возможно что на этой нове просто скрипт и подгружаются каж раз разная реклама, на одной из которых эта беда сидит...посмотрел по базам антивирусов только сегодня детектить начали ---------- Добавлено в 18:45 ---------- Предыдущее сообщение было написано в 18:42 ---------- да из SHELL УДАЛИЛ ТОЖЕ ключик ..вот хочу руками достать эту пакость... как бы добраться до папки через проводник.. что-то не пускает винда) ..под другим пользователем..вроде тож admin права

08.01.2012, 19:46	#8 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Java обновите до актуальной версии 6.30, у вас устаревшая версия 6.25

08.01.2012, 19:54	#11 (ссылка)
garrysoon Новичок Регистрация: 08.01.2012 Сообщений: 27 Репутация: 0	не вижу гада..как удален, если я еще не запускал скрипт))? по такой команде вылезает временная папка текущего пользователя, а мне другого надо ..ИГОРЯ)

08.01.2012, 19:56	#12 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	а, ну тогда будет на месте в профиле Игоря ищешь надеюсь?

08.01.2012, 20:07	#13 (ссылка)
garrysoon Новичок Регистрация: 08.01.2012 Сообщений: 27 Репутация: 0	сделал прощще ...удалил ключи ..перезагрузился... зашел под проблемной учеткой...и вот они.. 2 гада))

08.01.2012, 20:09	#14 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	тоже вариант)

08.01.2012, 20:25	#15 (ссылка)
garrysoon Новичок Регистрация: 08.01.2012 Сообщений: 27 Репутация: 0	как же все-таки они пробираются через мои бастионы безопасности)) неужто только юзерские права могут хоть как то уберечь))? ведь ничего не качал ..не запускал.. и на тебе... совсем обурели зловреды

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)