Банер появляется практически сразу после BIOS-строк.

[malor]

Банер появлялся практически сразу после прохождения BIOS'овских экранов.
Просит 500 руб. закинуть на номер 89688432653.
Загрузился в LiveCD-флешки, нашел во временных директориях IE пару exe-файлов и еще на рабочем столе (VIRUS_files\null0.33083272876175385.exe). Все их прилагаю тут в архиве VIRUS_files.zip.

Отчет Comodo сканировавшего каталог VIRUS_files:

Packed.Win32.MUPX.Gen@129019204 D:\VIRUS_files\x2z8.exe
TrojWare.Win32.Trojan.Agent.Gen@195738218 D:\VIRUS_files\readme[1].exe

В реестре значения Shell и UserInit - не тронуты.
Сдвинул в BIOS дату на 2 дня вперед и банер перестал появляться.
Как с ним правильно бороться?

[Info_bot]

Уважаемый(ая) malor, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

http://virusinfo.info/pravila.html

[malor]

Вы про логи от AVZ и HijackThis?

[polword]

Вы про логи от AVZ и HijackThis?

да

[malor]

В каком режиме запускать AVZ ? Как SafeMode, так и обычный недоступен (до уборки банера).

[thyrex]

1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

параметр

Код:

shell

Значения этих параметров напишите в своем сообщении

[malor]

Я же упомянул в 1-м своем посте:

Загрузился в LiveCD-флешки ...
В реестре значения Shell и UserInit - не тронуты.
(иначе бы сразу исправил их на стандартные значения)

Сообщение от пользователя Zodiak:
================================================== ==
у меня была аналогичная проблема ...

номер вымогателя 89688432651
Просили 500 руб.

Полного текста привести не могу.
Ниже было написано введите код и мигал курсор.

при редактировании фаила boot.ini на добавление параметра /bootlog
после очередной перезгрузки до пояления банера.
При загрузке с лайт CD лог файла ntbtlog.txt в папке windows не было обнаружено. Т.е. программа начинала свою работу после загрузчика.

Я тупо переименовал файл c:\windows\system32\ntoskrnl.exe в .... \ ntoskrnl.ex1 (на свой страх)

Загрузка пошла ...
Банер ушел ... логи записались.
Но в логах ntbtlog.txt , загрузка шла через ntkrnlpa.exe ...
Файл ntoskrnl.exe - потом был скопирован на другой системник. Таких проблем не было.

Итог- новая разновидность вымогателей.
Точного лечения мной не установлено.

Началось все с посещения какого то сайта .
Потом всплыло окошко с предложением что то Установить/обновить (со слов клиента Медиаплеер). он закрыл окно . после комп перезагрузился. и далее уже я столкнулся с этой проблемой.

Сразу же загрузили ось с диска и пролечили докторвебом, он кое что нашел во временных файлах и файлах интренет темп.
после удаления заразы и перезагрузке банер остался. Банер написан под DOS.

С момента появления проблемы и ее исчезновения (не уверен что проблема ушла) прошло менее 24 часов.
С датами я не игрался.
Пытался искать файл по тексту из сообщения, или номеру (он кстати меняется) - результатов не дало.
===============================================


Вот походу похожая проблема в соседней ветке:
Хитрый банер

[thyrex]

В реестре значения Shell и UserInit - не тронуты.

Очень многие так думают, а смотрят реестр LiveCD вместо реестра системы. Поэтому ждем значения параметров

[malor]

А как тогда я на всех прошлых компах убирал банеры? Правил реестр Windows самой LiveCD-флешки, по-вашему?

[Alexey P.]

Это Trojan.MBRlock.6
Работает сутки с момента создания бинаря, можно перевести часы в биос на сутки вперед.

[thyrex]

Также для начала попробуйте код 8750828