-
Junior Member
- Вес репутации
- 61
Баннер
Здравствуйте!
При работе в браузере перестал переключаться язык на английский.
После перезагрузки на пустом рабочем столе появился порнобаннер:
"Вы установили информер для быстрого доступа на наш сайт. Срок действия информера 30 дней". Просят пополнить счет абонента МТС на 300 рублей и ввести код операции, сумму и код терминала.
"Если в течение 12 часов с момента появления данного сообщения не будет введен код, все данные, включая Windows и BIOS, будут безвозвратно удалены!"
Это реально, или просто угроза??
На раб. столе нет ни кнопки "Пуск", ни одного значка. Поэтому логи сделать невозможно.
В безопасном режиме войти не удается - появляется синий экран с надписью об ошибке. Однако после работы с помощниками на вашем сайте (когда несколько месяцев назад лечились от вирусов) при перезагрузке компьютер предлагает варианты (извините, надпись исчезает быстро, полностью воспроизвести все не могу):
Microsoft Windows Recovery Console
do not select this [с отладчиком]
Microsoft Windows Professional RU
USB repair not to start Microsoft Windows
Мы по умолчанию обычно запускали третий вариант. Стоит ли воспользоваться каким-либо из оставшихся? Не опасно ли это? Поможет ли?
Каковы наши дальнейшие действия?
Пожалуйста, помогите!
Последний раз редактировалось Morwane; 31.03.2011 в 17:22.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Значения этих параметров напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Спасибо, что ответили.
Пока ждали:
Прочитали на сайте антивируса совет ввести код "11111" в каждое окно, но это не помогло. Теперь пишет, что "у вас осталось всего 9 попыток". Потом прочитали, что для баннера с тремя окошками на синем фоне кодов пока нет.
У меня под рукой только старый ноутбук.
Последний раз редактировалось Morwane; 31.03.2011 в 16:28.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 61
Удалось запустить с диска ERD Commander, нужную ветку открыли.
Подскажите, пожалуйста, что дальше делать?
Где найти параметры, которые вы просили указать?
параметр
Код:
userinit
параметр
Код:
shell
-
Выполните написанное в сообщении №2. Без этого никак
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
В папке Winlogon:
Shell - Type: REG_SZ - C:\Program Files\Common Files\ModemLogs\svhost.exe
Userinit - Type: REG_SZ - C:\Windows\system32\userinit.exe,
Последний раз редактировалось Morwane; 31.03.2011 в 17:54.
-
Сообщение от
Morwane
Shell - Type: REG_SZ - C:\Program Files\Common Files\ModemLogs\svhost.exe
Исправьте на explorer.exe и пробуйте загружаться
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Исправьте на explorer.exe и пробуйте загружаться
Сделали.
Баннер исчез, но на рабочем столе НИЧЕГО нет.
Последний раз редактировалось Morwane; 31.03.2011 в 17:44.
-
В Безопасном режиме с поддержкой командной строки загружается?
Если да - введите explorer и нажмите Enter.
Попробуйте запустить AVZ и сделайте логи.
-
-
Junior Member
- Вес репутации
- 61
В Безопасном режиме с поддержкой командной строки загружается?
Нет. "A problem has been detected..."
В обычном режиме можно открыть avz через Диспетчер задач. Удалось обновить базы.
Последний раз редактировалось Morwane; 31.03.2011 в 19:32.
-
Junior Member
- Вес репутации
- 61
Отключили восстановление системы, антивирус отключить не удалось (не вижу, где это можно сделать). Запустили avz.
Лог HiJack This нужен?
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\ModemLogs\svhost.exe','');
QuarantineFile('c:\program files\common files\modemlogs\explorer.exe','');
DeleteFile('c:\program files\common files\modemlogs\explorer.exe');
DeleteFile('C:\Program Files\Common Files\ModemLogs\svhost.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(8);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
-
-
Junior Member
- Вес репутации
- 61
Готово.
-
Теперь чисто. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 61
Вроде все нормально. Спасибо.
Получается, штатный антивирус ничего не ловит? Можно как-то дополнительно защититься от подобных атак?
-
Любой антивирус может пропустить. Абсолютной панацеи не существует.
А дополнительно - примерно так:
http://virusinfo.info/showthread.php?t=30339
+ базы антивируса должны постоянно автоматически обновляться.
-
-
В порядке информации
Сообщение от
thyrex
Исправьте на explorer.exe и пробуйте загружаться
Нужно было заменять всю запись
Сообщение от
thyrex
C:\Program Files\Common Files\ModemLogs\svhost.exe
а не только ее окончание
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\common files\\modemlogs\\svhost.exe - Trojan-Ransom.Win32.Losya.cw ( DrWEB: Trojan.Inject.29243, BitDefender: Backdoor.Generic.634377 )
-