-
Junior Member
- Вес репутации
- 50
Банер появляется практически сразу после BIOS-строк.
Банер появлялся практически сразу после прохождения BIOS'овских экранов.
Просит 500 руб. закинуть на номер 89688432653.
Загрузился в LiveCD-флешки, нашел во временных директориях IE пару exe-файлов и еще на рабочем столе (VIRUS_files\null0.33083272876175385.exe). Все их прилагаю тут в архиве VIRUS_files.zip.
Отчет Comodo сканировавшего каталог VIRUS_files:
Packed.Win32.MUPX.Gen@129019204 D:\VIRUS_files\x2z8.exe
TrojWare.Win32.Trojan.Agent.Gen@195738218 D:\VIRUS_files\readme[1].exe
В реестре значения Shell и UserInit - не тронуты.
Сдвинул в BIOS дату на 2 дня вперед и банер перестал появляться.
Как с ним правильно бороться?
Последний раз редактировалось Alexey P.; 23.05.2011 в 04:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) malor, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Вы про логи от AVZ и HijackThis?
-
Сообщение от
malor
Вы про логи от AVZ и HijackThis?
да
-
-
Junior Member
- Вес репутации
- 50
В каком режиме запускать AVZ ? Как SafeMode, так и обычный недоступен (до уборки банера).
-
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Значения этих параметров напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Я же упомянул в 1-м своем посте:
Загрузился в
LiveCD-флешки ...
В реестре значения
Shell и
UserInit - не тронуты.
(иначе бы сразу исправил их на стандартные значения)
Сообщение от пользователя Zodiak:
================================================== ==
у меня была аналогичная проблема ...
номер вымогателя 89688432651
Просили 500 руб.
Полного текста привести не могу.
Ниже было написано введите код и мигал курсор.
при редактировании фаила boot.ini на добавление параметра /bootlog
после очередной перезгрузки до пояления банера.
При загрузке с лайт CD лог файла ntbtlog.txt в папке windows не было обнаружено. Т.е. программа начинала свою работу после загрузчика.
Я тупо переименовал файл c:\windows\system32\ntoskrnl.exe в .... \ ntoskrnl.ex1 (на свой страх)
Загрузка пошла ...
Банер ушел ... логи записались.
Но в логах ntbtlog.txt , загрузка шла через ntkrnlpa.exe ...
Файл ntoskrnl.exe - потом был скопирован на другой системник. Таких проблем не было.
Итог- новая разновидность вымогателей.
Точного лечения мной не установлено.
Началось все с посещения какого то сайта .
Потом всплыло окошко с предложением что то Установить/обновить (со слов клиента Медиаплеер). он закрыл окно . после комп перезагрузился. и далее уже я столкнулся с этой проблемой.
Сразу же загрузили ось с диска и пролечили докторвебом, он кое что нашел во временных файлах и файлах интренет темп.
после удаления заразы и перезагрузке банер остался. Банер написан под DOS.
С момента появления проблемы и ее исчезновения (не уверен что проблема ушла) прошло менее 24 часов.
С датами я не игрался.
Пытался искать файл по тексту из сообщения, или номеру (он кстати меняется) - результатов не дало.
===============================================
Вот походу похожая проблема в соседней ветке:
Хитрый банер
-
Сообщение от
malor
В реестре значения Shell и UserInit - не тронуты.
Очень многие так думают, а смотрят реестр LiveCD вместо реестра системы. Поэтому ждем значения параметров
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
А как тогда я на всех прошлых компах убирал банеры? Правил реестр Windows самой LiveCD-флешки, по-вашему?
-
Это Trojan.MBRlock.6
Работает сутки с момента создания бинаря, можно перевести часы в биос на сутки вперед.
-
-
Также для начала попробуйте код 8750828
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-