-
Junior Member
- Вес репутации
- 43
Баннер на весь экран
Добрый день, проблема следущая: Появился баннер на весь экран, невозможно ничего запустить.
Удалось запустить компьютер в безопасном режиме. сначала выдал ошибку (см. фото ниже), последущие разы были нормально. сделал все логи, которые требуется (прилагаю). В безопасном режиме почему-то отображается только часть иконок из тех, которые должны быть на рабочем столе.
Как ни странно, но интернет на компьютере по всей видимости работает ( т.к. к нему подключен модем и ноут по лок. сети, у ноута по сети от пк работает интернет, с него сейчас и пишу).
Пробовал через Live CD справиться самостоятельно, не удалось. (пробовал вручную, т.к сд старый)
Фото баннера так же прилагаю. Предположительно(80%) этот баннер появился после установки малым на компьютер читов от игры "Копатели" в ВК.
Жду ответа, доп. вопросов и т.д. Заранее спасибо.
Вложение 410240
Вложение 410239
Вложение 410241
Вложение 410242
Вложение 410243
внизу фотографии с баннером полоска от фона, панель с кнопкой пуск отсутствует.
На компьютере стоит Windows 7
Последний раз редактировалось Fawkes; 20.03.2013 в 18:05.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Fawkes, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Подозрительного не увидел.
Попробуйте так:
http://virusinfo.info/showthread.php?t=119072%20target=
там подготовьте флешку, если привод не работает.
- - - Добавлено - - -
Хотя флешку можно не делать.
Сделайте это:
сделайте экспорт веток реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
и
HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run
в отдельные файлы, заархивируйте и прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 43
Вообщем, несмотря на то, что у меня один пользователь ( не считая стандартного - он скрыт по умолчанию и открыть его можно если прописать net user Администратор /active:yes), папок оказалось больше. в архиве они называются .default, g1, g2, g3... а из другой папки подписан соответственно.
Копировал именно оттуда, откуда вы написали
Вложение 410302
-
Сделайте полный образ автозапуска uVS
на шаге №4 выберите проблемную учётку.
-
-
Junior Member
- Вес репутации
- 43
архив прикрепил.
Кстати, когда делал экспорт веток реестра, заметил следущую вещь: в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft в одном из значений какие-то иероглифы. Так должно быть? фото прикрепил
Вложение 410454
Вложение 410453
-
-
-
Выполните скрипт в uVS
Код:
;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
regt 12
restart
после перезагрузки отпишитесь, что с проблемой.
- - - Добавлено - - -
Текущий пользователь: HOMECOMPUTER\7 - это проблемная учётка ?
-
-
Junior Member
- Вес репутации
- 43
Сообщение от
regist
Выполните скрипт в uVS
Код:
;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
regt 12
restart
после перезагрузки отпишитесь, что с проблемой.
- - - Добавлено - - -
Текущий пользователь: HOMECOMPUTER\7 - это проблемная учётка ?
Выполнил скрипт, сам перезагрузился - результатов нет. ничего не изменилось.
Карантин uvs не создался.(делал по инструкции)
Да, это проблемная учетка
- - - Добавлено - - -
Сообщение от
Techno
Сделал, прикрепил.
Вложение 410583
-
Удалите в MBAM только указанные строки
Код:
C:\RECYCLER\S-1-5-18\Dd2.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\TDSSKiller_Quarantine\28.08.2012_15.19.48\susp0000\svc0000\tsk0000.dta (Rootkit.Necurs) -> Действие не было предпринято.
C:\Users\7\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\663004af-6abf8163 (Malware.Packer.gen) -> Действие не было предпринято.
C:\Windows\Sound.exe (Trojan.Ransom) -> Действие не было предпринято.
Повторите лог MBAM.
-
-
Выполните ещё один скрипт UVS
Код:
;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
regt 12
regt 5
restart
компьютер снова перезагрузится, карантина не будет.
Скрипт отключит автозапуск для всех пользователей (потом можно будет включить вручную). Отпишитесь, что с проблемой.
+ Проведите процедуру, которая описана тут. Ссылка на результат проверки напишите в сообщении здесь.
-
-
Junior Member
- Вес репутации
- 43
Сообщение от
mrak74
Удалите в MBAM только указанные строки
Код:
C:\RECYCLER\S-1-5-18\Dd2.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\TDSSKiller_Quarantine\28.08.2012_15.19.48\susp0000\svc0000\tsk0000.dta (Rootkit.Necurs) -> Действие не было предпринято.
C:\Users\7\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\663004af-6abf8163 (Malware.Packer.gen) -> Действие не было предпринято.
C:\Windows\Sound.exe (Trojan.Ransom) -> Действие не было предпринято.
Повторите лог MBAM.
Удалил указанные файлы, система загрузилась без баннера. Повторный лог скину чуть позже ( поставил сканировать )
- - - Добавлено - - -
Сообщение от
regist
Выполните ещё один скрипт UVS
Код:
;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
regt 12
regt 5
restart
компьютер снова перезагрузится, карантина не будет.
Скрипт отключит автозапуск для всех пользователей (потом можно будет включить вручную). Отпишитесь, что с проблемой.
+ Проведите процедуру, которая описана
тут. Ссылка на результат проверки напишите в сообщении здесь.
Как я написал выше, компьютер загрузился без баннера. Но скрипт в uvs я всеравно выполнил, и отправил карантин через VirusDetector. Как придет ответ - отпишу.
-
-
-
Junior Member
- Вес репутации
- 43
результаты VirusDetector http://virusinfo.info/virusdetector/...C0EC9855A77EA8
- - - Добавлено - - -
Новый лог MBAM Вложение 410691
- - - Добавлено - - -
Не совсем понял по инструкции как правильно отправить вам карантин, в сообщение не влазит (3 мб)
-
Сообщение от
Fawkes
Не совсем понял по инструкции как правильно отправить вам карантин, в сообщение не влазит (3 мб)
там же внизу написано
Не прикрепляйте карантин к Вашему сообщению, пользуйтесь исключительно формой закачки!!!
загрузите по ссылке Прислать запрошенный карантин вверху темы.
-
-
Junior Member
- Вес репутации
- 43
Загрузил.
"Результат загрузки
Файл сохранён как 130322_154140_mbam_quarantine_514c7bb476647.zip
Размер файла 3560453
MD5 ed850dd9c9533546c869be5da3fe1cd9
Файл закачан, спасибо!"
-
прошу прощения, но в карантин вы помойму прислали совсем другие файлы (по крайней мере название и пути совсем другие).
Заархивируйте в zip архив папку с карантином MBAM
Код:
C:\Documents and Settings\Имя вашей учётки\Application Data\Malwarebytes\Malwarebytes' Anti-Malware
с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
-
-
Junior Member
- Вес репутации
- 43
Сообщение от
regist
прошу прощения, но в карантин вы помойму прислали совсем другие файлы (по крайней мере название и пути совсем другие).
Заархивируйте в zip архив папку с карантином MBAM
Код:
C:\Documents and Settings\Имя вашей учётки\Application Data\Malwarebytes\Malwarebytes' Anti-Malware
с паролем
virus и загрузите по ссылке
Прислать запрошенный карантин вверху темы.
Простите, были проблемы со связью...
Не нашел папку documents and settings даже включив отображение скрытых файлов. Она точно есть в Windows 7?
-
c:\пользователи или c:\users есть?
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-