-
Junior Member
- Вес репутации
- 50
Windows заблокирован
Поймал какую-то блокировочную пакость (синий такой баннер), которая говорит, что появилась из-за того, что я смотрел гей порно (сие наглая клевета) и бесцеремонно требовает пополнить баланс какого-то номера MTC, угрожая полным экстерминатусом всей системы и БИОСа.
Безопасный режим не загружается - логи сделать не могу.
Спасите-помогите, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
I. Зайдите в безопасном режиме (F8 ) с поддержкой коммандной строки. Выполните команду explorer, должен открыться проводник,
и Вы сможете сделать логи по правилам.
II. 1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
Исправьте через ERD Commander значение параметра shell на explorer.exe
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
В безопасном режиме говорю же не загружается (ни с поддержкой строки, ни без нее). Вылетает синий экран.
Начать сразу со второго пункта ?
-
Сообщение от
xuim
Начать сразу со второго пункта ?
конечно.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Ну вобщем я загрузился. Значение параметра Shell - Shell значение параметра Userinit - Userinit
Несколько смущает value data параметра Shell, а именно путь:
Код:
С:\Documents and Settings\COMP\Desktop\null0.27998053514704924.exe
Очевидно, "null0.27998053514704924.exe" это файл вируса.
-
Замените значение параметра shell на Пробуйте загружаться и делать логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
А че-то не могу я ничего менять. Поле серое и возможности редактирования нет.
Неправильно загрузился чтоли или не ту сборку записал... Версия 5.0 этого коммандера.
Аа нет, видимо, с правами доступа что-то не то ..
-
Сообщение от
xuim
Аа нет, видимо, с правами доступа что-то не то ..
Такого быть не может. Для Live CD права не нужны. Что-то Вы делаете неправильно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Просто после рабочего дня я туплю (и очень сильно), а вы сразу не заметили.
Вместо значений параметров, я написал их имена
И их и пытался изменять (в меню редактирования значения)
В общем теперь пишу то, что надо
Значение параметра Shell:
Код:
explorer.exe "С:\Documents and Settings\LEXUS\Desktop\null0.27998053514704924.exe"
Значение параметра Userinit:
Код:
C:\WINDOWS\system32\Userinit.exe,
Изменение значения параметра Shell (удаление пути к null0.27998053514704924.exe) результата не дало. Баннер появился как ни в чем ни бывало. Загрузился повторно с диска. Значение параметра Shell вновь вернулось какое и было - с указанием пути к этому файлу на раб столе. Кстати, он виден через проводник, может удалить его ?
-
Поскольку файл виден, переименуйте его, измените значение параметра и пробуйте загружаться
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Параметр его запуска дублировался еще и в ветке HKLM\...\Run.
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [Shell] "C:\Documents and Settings\LEXUS\Desktop\null0.27998053514704924.exe"
O17 - HKLM\System\CS31\Services\Tcpip\Parameters: NameServer = 85.255.112.200,85.255.112.182
O17 - HKLM\System\CS32\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
O17 - HKLM\System\CS33\Services\Tcpip\Parameters: NameServer = 85.255.112.121,85.255.112.123
O17 - HKLM\System\CS34\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
O17 - HKLM\System\CS35\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
O17 - HKLM\System\CS36\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
O17 - HKLM\System\CS37\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
O17 - HKLM\System\CS38\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
O17 - HKLM\System\CS39\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
O17 - HKLM\System\CS40\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
O17 - HKLM\System\CS41\Services\Tcpip\Parameters: NameServer = 85.255.112.158,85.255.112.86
Больше ничего плохого не видно.
Зловредный файл пришлите в архиве с паролем virus как карантин.
У себя удалите.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
-
\null.sxe (С:\Documents and Settings\LEXUS\Desktop\null0.27998053514704924.exe ) - Backdoor.Win32.Bifrose.dupt (Trojan.Winlock.3287)
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Backdoor.Win32.Bifrose.dupt (Trojan.Winlock.3287)
Ну будем знать.
Спасибо всем
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\null.sxe - Backdoor.Win32.Bifrose.dupt ( DrWEB: Trojan.Winlock.3287, BitDefender: Backdoor.Generic.648288, AVAST4: Win32:Malware-gen )
-