Цитата:
Сообщение от Virt.
проверь
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
|
вроде ничего подозрительного (скрин)
Цитата:
Сообщение от Virt.
пробуй восстановить сейфбут
1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
3. Импортировать модифицированный файл
|
а вот это интересно - на зараженной машине нет раздела SafeBoot - видимо вирус удалил его и поэтому загрузка в безопасном режиме не помогает (!)
на самом деле работа вируса удивительна - на компе куда он внедрился у пользователя не было прав админа (!), стоял обновленный нод32. вирь мгновенно после запуска скрипта блокировал комп, даже перезагрузки не потребовалось
видимо это приложение запускается из автозагрузки, поскольку пару секунд при загрузке видно рабочий стол
АПД
Ну собственно после того как стало понятно как вирь работает удалить его не сложно - в разделе RUN ищем параметр ekzabc и убиваем. Если к реестру доступа нет (одиночная машина) убиваем файл %systemroot%\lsasss.exe. кому нужен для исследований пишите в личку
сегодня дрвеб его уже опознает как Trojan.Winlock.68