-
Junior Member
- Вес репутации
- 53
Помогите с смс вымогателем
Доброго времени суток. Не могу одолеть смс баннер, суть проблемы такова. Коды перебирал уже штук 60 вбил, по нулям. Не помогает и перевод системных часов в биосе вперед, хоть на 2 суток вперед, хоть на год. Не зайти и в безопасном режиме, все равно всплывает. А самое интересное что каждый раз при перезагрузке меняется номер телефона вымогателя. Номер билайновский например (89060968283, 89060967627 и далее, они каждый раз меняются), в тексте смс просит цифру, который даст чек оплаты в 400 рублей через терминал. Логи скинуть не могу, так как не войти в систему. Может кто то ловил уже этого зверя, и знает с чем его едят
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток.
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
а также
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 53
userinit - x:\1386\system32\userinit.exe
shell - explorer.exe
AppInit_DLLs - wbsys.dll
-
Вы смотрите реестр самого LiveCD, а нужно, заражённой машины. У Вас же явно система не на диске x:\
-
-
Junior Member
- Вес репутации
- 53
ну как бы да запустил regedit, написал че было, как посмотреть с
Добавлено через 11 минут
запускался с lex live cd
Последний раз редактировалось vladis017; 16.01.2011 в 00:26.
Причина: Добавлено
-
Сообщение от
vladis017
запускался с lex live cd
Значит в нем нельзя смотреть реестр зараженной системы. Используйте тот Live CD, который Вам посоветовали
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
userinit - c:\windows\system32\userinit.exe,c:\windows\system 32\usrinit.exe
shell - Explorer.exe
AppInit_DLLs - "пусто"
-
Исправьте
Сообщение от
vladis017
userinit - c:\windows\system32\userinit.exe,
Остальное удалите.
Загружайтесь и выполняйте правила
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Внимание !!!
База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы и сделайте логи заново.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\usrinit.exe','');
DeleteFile('C:\WINDOWS\system32\usrinit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=95381).
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
карантин отослал
новый лог
Последний раз редактировалось Bratez; 16.01.2011 в 18:20.
-
Чисто.
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Всем спасибо. Можно крыть тему)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\usrinit.exe - Trojan-Ransom.Win32.PornoBlocker.djq ( DrWEB: Trojan.Winlock.2430, BitDefender: Trojan.Generic.5637207, NOD32: Win32/LockScreen.QX trojan, AVAST4: Win32:VB-QTD [Drp] )
-