-
Junior Member
- Вес репутации
- 55
Не могу разблокировать порно-блокировщик
Добрый день.
При старте WinXP (и в обычном и в безопасном режиме) вылазит окно с голыми мужиками (уже со снятыми красными труселями). Блокирует дальнейшие действия и предлагает отправить деньги сразу на электронный кошелёк 892847470.
Формы он-лайн служб подбора кодов ответа (ДрВеб, Касперский+ на этом форуме, Есет) предлагают ввести сочетание "№ СМС"+"код запроса" и и на попытки ввода номера кошелька результат не выдают.
При проверке заразного жесткого диска, подключенного к чистому компьютеру, при помощи ДрВеб/CureIt, Virus Removal Tool (Kaspersky), AVZ, MBAM ни чего не обнаруживается.
Логи сделать не получается.
С помощью какого ещё сервиса или какого запроса можно получить код разблокировки, что бы была возможность сделать логи для дальнейшей чистки ?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
загрузитесь с заразного диска. попробуйте сделать так:
Нажать на клавиатуре сочетание клавишь WIN + U (Win - клавиша с логотипом Windows), далее выбрать Экранную Лупу-Запустить. Откроется окно, в нем нажать в середине ссылку "Веб-узел Microsoft" - выбрать Браузер - Файл- Открыть - Обзор. Далее идти к диску (флешке) с папкой программы avz. Попробовать сделать логи
-
-
Junior Member
- Вес репутации
- 55
После нажатия WIN + U возле указателя мыши только на секунду появляются песочные часы - и всё. Попробовал несколько раз.
-
Если умеете работать с реестром и считаете себя продвинутым пользователем:
Загрузитесь с какого-нибудь LiveCD -- лучше всего ERD Commander, так как он умеет автоматически подгружать реестр системы, и посмотрите, что сидит в автозагрузке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Также, насколько я помню, в ERD Commander, есть утилита управления автозапуском, как называется, не помню...
Эта статья тоже может помочь:http://virusinfo.info/showthread.php?t=72176
Можете также просто, как показано в статье, экспортировать HKEY_LOCAL_MACHINE\SOFTWARE в .reg - файл и прикрепить здесь к своему сообщению, а мы скажем, что нужно подправить.
-
-
Junior Member
- Вес репутации
- 55
Попробовал пару сборок ERD Commander - установленная система (и жесткий диск) не подцепляется ни при старте машины, ни в дальнейшем при работе в ERD Commander.
Попробовал LiveCD от ДрВеб - с ним грузится и сканирует нормально, но в нём нет никаких интегрированных инструментов для работы с реестром.
Что ещё можно попробовать ?
-
Сообщение от
ysb
установленная система (и жесткий диск) не подцепляется ни при старте машины
В BIOS'е в разделе main, кажется, есть опция Configure SATA As (или что-то подобное)
Попробуйте выставить режим IDE
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
polar_owl
В BIOS'е в разделе main, кажется, есть опция Configure SATA As (или что-то подобное)
Попробуйте выставить режим IDE
Спасибо, помогло. Стоял raid-режим.
Сообщение от
polar_owl
Можете также просто, как показано в статье, экспортировать HKEY_LOCAL_MACHINE\SOFTWARE в .reg - файл и прикрепить здесь к своему сообщению, а мы скажем, что нужно подправить.
В несжатом состоянии файл получился 27 мб, поэтому ужал в zip, получилось 1,93 мб. Но, даже удалив с форума все свои предыдущие вложения, файл не получилось прикрепить к сообщению - "превышение предела на форуме".
Поэтому вложил файл на рапиду http://rapidshare.com/files/38519035...TWARE__reg.zip
-
Найдите этот файл
Код:
C:\Documents and Settings\olga\Local Settings\Application Data\Opera\Opera\temporary_downloads\44a133dc6baefbbedb9ade16147405c0.avi.exe
запакуйте с паролем virus и пришлите по красной ссылке вверху темы Прислать карантин.
В реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell. Присвойте ему значение Explorer.exe
Загрузитесь с жесткого диска
-
-
Junior Member
- Вес репутации
- 55
Карантин выслал.
После правки реестра с жесткого диска загрузился.
При диагностике AVZ файл virusinfo_syscure.zip не сформировался.
Прилагаю virusinfo_syscheck.zip и hijackthis.log
Но hijackthis запустился только переименованный в 1.zip.
При родном названии он удалялся ещё на стадии просмотра папки с ним на флэшке или копировании этой папки на жесткий диск. Выполнение в AVZ "восстановления системы - очистка списка игнорирования hijackthis" не помогло.
-
акройте все программы, выгрузите антивирус, фаерволл
пофиксите В HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Выполните в AVZ скрипт:
Код:
begin
QuarantineFile('imageviewer.exe','');
QuarantineFile('340510867285l.exe','');
DeleteFile('C:\Documents and Settings\olga\Local Settings\Application Data\Opera\Opera\temporary_downloads\44a133dc6baefbbedb9ade16147405c0.avi.exe');
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
ExecuteSysClean;
end.
В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Сделайте еще такой лог:http://virusinfo.info/showthread.php?t=40118
-
-
Junior Member
- Вес репутации
- 55
В HijackThis пофиксил.
В AVZ скрипт выполнил (всплывающее окошко было об успехе), но virus.zip сформировался пустым (без файлов) - в протоколе были сообщения:
"Ошибка карантина файла, попытка прямого чтения (imageviewer.exe)
Карантин с использованием прямого чтения - ошибка" (два раза)
и для второго файла - также.
Лог gmer прилагаю.
-
Закройте все программы, выгрузите антивирус, фаерволл
Отключите ПК от интеренета, локальной сети.
Выполните в AVZ скрипт:
Код:
begin
DeleteFileMask(GetAVZDirectory+'log','*.*', true);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('imageviewer.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run-','Windows Image Viewer Service');
DeleteFile('340510867285l.exe');
RegKeyStrParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','cmd.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер сам перезагрузится.
Сделайте полный комплект логов (без Gmer)
-
-
Junior Member
- Вес репутации
- 55
Скрипт при выполнении останавливается с ошибкой "Failed to set data for 'DisplayName', шаг [14]"
-
Попробуйте убрать из скрипта строчку:
Код:
RegKeyStrParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','cmd.exe');
-
-
Junior Member
- Вес репутации
- 55
-
Вы OutPost FireWall отключали?
Добавлено через 1 минуту
Давайте попробуем так:
Код:
begin
DeleteFileMask(GetAVZDirectory+'log','*.*', true);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SetAVZGuardStatus(True);
DeleteFile('imageviewer.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run-','Windows Image Viewer Service');
DeleteFile('340510867285l.exe');
RegKeyStrParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','cmd.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось polar_owl; 09.05.2010 в 22:04.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 55
Отключал/выгружал.
Попробую ещё раз перезагрузиться без его автозагрузки.
p.s. Убрал Аутпост из автозагрузки - результат выполнения скрипта тот же - останов.
p.p.s. переделанный скрипт прошел, начинаю делать логи (непереименованный HijackThis пока по-прежнему удаляется)
Последний раз редактировалось ysb; 09.05.2010 в 22:28.
-
Outpost так просто не выключить.
-
-
-
-
Junior Member
- Вес репутации
- 55
virusinfo_syscure.zip опять не сформировался.
Прилагаю новые virusinfo_syscheck.zip и hijackthis.log