Показано с 1 по 18 из 18.

Блокер (заявка № 101704)

  1. #1
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    21

    Блокер

    Подскажите, пожалуйста, что можно с этим сделать - после загрузки компьютера вылезает черный экран с требованием заплатить денег на номер МТС (примерно как здесь http://virusinfo.info/showthread.php?t=101041 )
    В безопасном режиме загрузиться не удается, Live CD Dr. Web и Касперский ничего не находят.

    shell--> Explorer.exe
    userinit --> С:\WINDOW\system32\userinit.exe,
    AppInit_DLLs --> пустое поле

    Очень надеюсь на вашу помощь
    Последний раз редактировалось Trata; 04.05.2011 в 13:41.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Цитата Сообщение от Trata Посмотреть сообщение
    shell--> Explorer.exe
    userinit --> С:\WINDOW\system32\userinit.exe,
    AppInit_DLLs --> пустое поле
    Эти параметры как именно посмотрели?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    21
    Через ERD-Commander 2005 с этого диска http://rutracker.org/forum/viewtopic.php?t=3006035.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Посмотрите в папке WINDOWS\system32 объем файлов userinit.exe и taskmgr.exe
    и в папке WINDOWS объем файла explorer.exe
    и сообщите.

    PS в первом сообщении ссылку неправильную указали.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    21
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Посмотрите в папке WINDOWS\system32 объем файлов userinit.exe и taskmgr.exe
    и в папке WINDOWS объем файла explorer.exe
    и сообщите.
    Спасибо, попробую посмотреть.
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    PS в первом сообщении ссылку неправильную указали.
    Ссылку исправила

  7. #6
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    21
    userinit.exe -> 25088 байт
    taskmgr.exe ->139264 байт
    explorer.exe ->1033728 байт

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    "Безопасный режим с поддержкой командной строки" загружается?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    21
    Нет, грузится только в обычном режиме.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Посмотрите в папке WINDOWS\system32 объем файлов userinit.exe и taskmgr.exe
    и в папке WINDOWS объем файла explorer.exe
    Посмотрите в ERD дату их создания/последнего изменения и сообщите.

    Так же в ERD запустите Autoruns (в меню Start поищите).
    Посмотрите сами, может найдете что-то необычное.
    Если нет, сделайте скриншоты Autoruns, чтобы все видно было и приложите их.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. #10
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    21
    userinit.exe и taskmgr.exe дата создания и изменения - 2004
    explorer.exe создан в 2004 изменен в 2007

    В Autoruns выделила синим то, что показалось странным:
    Достаточно просто удалить этот файл из папки temp?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Да, в Autoruns удалите его (при этом удалится его регистрация в реестре).
    Попробуйте загрузить компьютер.
    Если загрузился, файл заархивируйте с паролем virus и загрузите по красной ссылке вверху темы "Прислать запрошенный карантин".
    Затем файл удалите.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  13. #12
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    21
    Спасибо, вы меня спасли! Все заработало!

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    21
    Цитата Сообщение от thyrex Посмотреть сообщение
    Вот
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - удалите в MBAM
    Код:
    Заражённые ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\администратор\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
    c:\documents and settings\администратор\local settings\temp\0.44077010227254065.exe (Trojan.Dropper) -> No action taken.
    c:\documents and settings\администратор\local settings\temp\0.3911618619120838.exe (Trojan.Dropper) -> No action taken.
    - Сделайте повторный лог MBAM

  17. #16
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    21
    Посмотрите, пожалуйста, все ли теперь в порядке?
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    подозрительного нет

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \\0.5597615283246951.exe - Trojan-Ransom.Win32.Gimemo.alw ( DrWEB: Trojan.Winlock.3090, BitDefender: Trojan.Generic.KDV.202755, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Trata, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Блокер
      От Раян в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.07.2011, 14:06
    2. sms блокер
      От beh01der в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.06.2011, 15:35
    3. Смс - блокер
      От Nice_guy в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.01.2011, 20:49
    4. sms-блокер
      От oleg4er в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.02.2010, 00:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00798 seconds with 23 queries