Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Не могу разблокировать порно-блокировщик (заявка № 77940)

  1. #1
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    54

    Thumbs up Не могу разблокировать порно-блокировщик

    Добрый день.
    При старте WinXP (и в обычном и в безопасном режиме) вылазит окно с голыми мужиками (уже со снятыми красными труселями). Блокирует дальнейшие действия и предлагает отправить деньги сразу на электронный кошелёк 892847470.
    Формы он-лайн служб подбора кодов ответа (ДрВеб, Касперский+ на этом форуме, Есет) предлагают ввести сочетание "№ СМС"+"код запроса" и и на попытки ввода номера кошелька результат не выдают.
    При проверке заразного жесткого диска, подключенного к чистому компьютеру, при помощи ДрВеб/CureIt, Virus Removal Tool (Kaspersky), AVZ, MBAM ни чего не обнаруживается.
    Логи сделать не получается.

    С помощью какого ещё сервиса или какого запроса можно получить код разблокировки, что бы была возможность сделать логи для дальнейшей чистки ?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    загрузитесь с заразного диска. попробуйте сделать так:
    Нажать на клавиатуре сочетание клавишь WIN + U (Win - клавиша с логотипом Windows), далее выбрать Экранную Лупу-Запустить. Откроется окно, в нем нажать в середине ссылку "Веб-узел Microsoft" - выбрать Браузер - Файл- Открыть - Обзор. Далее идти к диску (флешке) с папкой программы avz. Попробовать сделать логи

  4. #3
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    54
    После нажатия WIN + U возле указателя мыши только на секунду появляются песочные часы - и всё. Попробовал несколько раз.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Если умеете работать с реестром и считаете себя продвинутым пользователем:
    Загрузитесь с какого-нибудь LiveCD -- лучше всего ERD Commander, так как он умеет автоматически подгружать реестр системы, и посмотрите, что сидит в автозагрузке
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

    Также, насколько я помню, в ERD Commander, есть утилита управления автозапуском, как называется, не помню...

    Эта статья тоже может помочь:http://virusinfo.info/showthread.php?t=72176
    Можете также просто, как показано в статье, экспортировать HKEY_LOCAL_MACHINE\SOFTWARE в .reg - файл и прикрепить здесь к своему сообщению, а мы скажем, что нужно подправить.

  6. #5
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    54
    Попробовал пару сборок ERD Commander - установленная система (и жесткий диск) не подцепляется ни при старте машины, ни в дальнейшем при работе в ERD Commander.
    Попробовал LiveCD от ДрВеб - с ним грузится и сканирует нормально, но в нём нет никаких интегрированных инструментов для работы с реестром.

    Что ещё можно попробовать ?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Цитата Сообщение от ysb Посмотреть сообщение
    установленная система (и жесткий диск) не подцепляется ни при старте машины
    В BIOS'е в разделе main, кажется, есть опция Configure SATA As (или что-то подобное)
    Попробуйте выставить режим IDE

  8. #7
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    54
    Цитата Сообщение от polar_owl Посмотреть сообщение
    В BIOS'е в разделе main, кажется, есть опция Configure SATA As (или что-то подобное)
    Попробуйте выставить режим IDE
    Спасибо, помогло. Стоял raid-режим.

    Цитата Сообщение от polar_owl Посмотреть сообщение
    Можете также просто, как показано в статье, экспортировать HKEY_LOCAL_MACHINE\SOFTWARE в .reg - файл и прикрепить здесь к своему сообщению, а мы скажем, что нужно подправить.
    В несжатом состоянии файл получился 27 мб, поэтому ужал в zip, получилось 1,93 мб. Но, даже удалив с форума все свои предыдущие вложения, файл не получилось прикрепить к сообщению - "превышение предела на форуме".
    Поэтому вложил файл на рапиду http://rapidshare.com/files/38519035...TWARE__reg.zip

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Найдите этот файл
    Код:
    C:\Documents and Settings\olga\Local Settings\Application Data\Opera\Opera\temporary_downloads\44a133dc6baefbbedb9ade16147405c0.avi.exe
    запакуйте с паролем virus и пришлите по красной ссылке вверху темы Прислать карантин.
    В реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Параметр Shell. Присвойте ему значение Explorer.exe
    Загрузитесь с жесткого диска

  10. #9
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    54
    Карантин выслал.
    После правки реестра с жесткого диска загрузился.
    При диагностике AVZ файл virusinfo_syscure.zip не сформировался.
    Прилагаю virusinfo_syscheck.zip и hijackthis.log
    Но hijackthis запустился только переименованный в 1.zip.
    При родном названии он удалялся ещё на стадии просмотра папки с ним на флэшке или копировании этой папки на жесткий диск. Выполнение в AVZ "восстановления системы - очистка списка игнорирования hijackthis" не помогло.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    акройте все программы, выгрузите антивирус, фаерволл
    пофиксите В HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    Выполните в AVZ скрипт:
    Код:
    begin
     QuarantineFile('imageviewer.exe','');
     QuarantineFile('340510867285l.exe','');
     DeleteFile('C:\Documents and Settings\olga\Local Settings\Application Data\Opera\Opera\temporary_downloads\44a133dc6baefbbedb9ade16147405c0.avi.exe');
    CreateQurantineArchive(GetAVZDirectory+'virus.zip');
    ExecuteSysClean;
    end.

    В папке c АВЗ сохранится virus.zip.
    Пришлите его по ссылке Прислать запрошенный карантин вверху темы.

    Сделайте еще такой лог:http://virusinfo.info/showthread.php?t=40118

  12. #11
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    54
    В HijackThis пофиксил.

    В AVZ скрипт выполнил (всплывающее окошко было об успехе), но virus.zip сформировался пустым (без файлов) - в протоколе были сообщения:
    "Ошибка карантина файла, попытка прямого чтения (imageviewer.exe)
    Карантин с использованием прямого чтения - ошибка"
    (два раза)
    и для второго файла - также.

    Лог gmer прилагаю.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Закройте все программы, выгрузите антивирус, фаерволл
    Отключите ПК от интеренета, локальной сети.

    Выполните в AVZ скрипт:
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'log','*.*', true);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('imageviewer.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run-','Windows Image Viewer Service');
     DeleteFile('340510867285l.exe');
     RegKeyStrParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','cmd.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер сам перезагрузится.


    Сделайте полный комплект логов (без Gmer)

  14. #13
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    54
    Скрипт при выполнении останавливается с ошибкой "Failed to set data for 'DisplayName', шаг [14]"

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Попробуйте убрать из скрипта строчку:
    Код:
    RegKeyStrParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','cmd.exe');

  16. #15
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    54
    Результат тот же

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    Вы OutPost FireWall отключали?

    Добавлено через 1 минуту

    Давайте попробуем так:
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'log','*.*', true);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SetAVZGuardStatus(True);
     DeleteFile('imageviewer.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run-','Windows Image Viewer Service');
     DeleteFile('340510867285l.exe');
     RegKeyStrParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','cmd.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось polar_owl; 09.05.2010 в 22:04. Причина: Добавлено

  18. #17
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    54
    Отключал/выгружал.
    Попробую ещё раз перезагрузиться без его автозагрузки.

    p.s. Убрал Аутпост из автозагрузки - результат выполнения скрипта тот же - останов.

    p.p.s. переделанный скрипт прошел, начинаю делать логи (непереименованный HijackThis пока по-прежнему удаляется)
    Последний раз редактировалось ysb; 09.05.2010 в 22:28.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Outpost так просто не выключить.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    http://virusinfo.info/showthread.php?t=57441
    Здесь есть про OutPost

  21. #20
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    38
    Вес репутации
    54
    virusinfo_syscure.zip опять не сформировался.
    Прилагаю новые virusinfo_syscheck.zip и hijackthis.log

  • Уважаемый(ая) ysb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 01.07.2012, 19:45
    2. Разблокировать реестр.
      От Aleksandr49 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 03.03.2011, 17:59
    3. Ответов: 29
      Последнее сообщение: 06.02.2010, 22:17
    4. Не могу удалить порно баннер...
      От Doctorscorp в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.01.2010, 22:50
    5. Не могу убрать информер с порно-рекламой
      От Александр Осипенко в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.09.2008, 20:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01388 seconds with 19 queries