-
Junior Member
- Вес репутации
- 57
"Компьютер" заблокирован, в т.ч. при безопасном режиме, НО есть линукс
Здравствуйте!
Посторонний человек сидел за компьютером, есс-но затащил какой то гадости. При том что только вчера все почистил и сегодня такая штука.
При загрузке виндоус после "Привестствия" появляется экран "Компьютер заблокирован" и далее что-то типа "За просмотр и хранение каких-то там порно фильмов компьютер заблокирован отправвьте шраф 400 руб. при попытке загузить биос или ребутнить удаляться ВСЕ данные" и снизу статья УК. cntrl alt del нажать неуспеваю, с безопасного режима также грузит с такой же табликой. Как я узнал человек заходил на порнушные сайты. Сейчас сижу из-под линукса, могу зайти в папку с виндоусом.
Подскажите что можно сделать в данной ситуации: могу загружаться из-под линукса (ubuntu), есть ли аналогичное ПО по типу AVZ под линукс?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) navy_seals, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 57
Сумел загрузить Windows с помощью одной статьи, а именно с помощью удаления файла 22CC6C32.exe, заменой подложного userinit.exe на нормальный и обильной правкой реестра.
В связи с этим, пожалуйста, помогите разобраться с остатками, что-то ведь точно осталось! Сейчас как я понимаю надо делать логи AVZ и hijackthis. MBAM надо? Подскажите пожалуйства пока виндоус работает!
-
- Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 57
Замеченные сейчас симптомы: оставшиеся как в этой (http://virusinfo.info/showthread.php?t=103913) теме - что-то в автозаугрзке, а также иногда выскакивают сообщения по типу "память не может быть read" от таких приложений как svchost и bb.tmp. Логи прикрепил.
Последний раз редактировалось thyrex; 14.02.2012 в 01:07.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Пользователь\Мои документы\3dsmax\autoback\maxhold.bak','');
QuarantineFile('C:\Program Files\Common Files\msdao23.tlc','');
DeleteFile('C:\Program Files\Common Files\msdao23.tlc');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 57
осталось что-то в автозагрузке
пользователь/главное меню/программы/автозагрузка/es4rv6z4.exe
самого файла там не вижу.
Прикрепляю лог и заливаю карантин (весит почему то много 10 мб). 110620_160803_quarantine_4dff706308d20.zip
Размер файла 11281961
MD5 f1962087afd92c31520b30a64fb4a5e3
Последний раз редактировалось thyrex; 14.02.2012 в 01:08.
-
Давайте сделаем так:
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(true);
QuarantineFile('%USERPROFILE%/Главное меню/Программы/Автозагрузка/es4rv6z4.exe','');
DeleteFile('%USERPROFILE%/Главное меню/Программы/Автозагрузка/es4rv6z4.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'es4rv6z4.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл es4rv6z4.zip (карантин) загрузите по ссылке.
Повторите лог syscheck.
-
-
Junior Member
- Вес репутации
- 57
прикрепляю лог, файл залил как карантин:
Файл сохранён как 110620_174646_es4rv6z4_4dff8786bbee0.zip
Размер файла 80206
MD5 a213101e92e4295ac2e07125c0028ab9
Последний раз редактировалось thyrex; 14.02.2012 в 01:09.
-
Объект в автозагрузке исчез?
И ещё меня интересует, это Вам известно: D:\VidGIF\VidGIF\VidGif.exe ?
-
-
Junior Member
- Вес репутации
- 57
объект не исчез но галочка с него снялась вроде бы не появляется.
VidGif это нормальная программа.
Посмотрю как вести себя будет система, спасибо огромное!
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\пользователь/главное меню/программы/автозагрузка/es4rv6z4.exe - Trojan.Win32.Agent.nijw ( DrWEB: Trojan.MulDrop2.34139, BitDefender: Trojan.Generic.KDV.267764, AVAST4: Win32:Zboter-H [Wrm] )
- c:\\program files\\common files\\msdao23.tlc - Trojan.Win32.Pakes.pde ( DrWEB: BackDoor.Tdss.7, BitDefender: Trojan.Generic.KDV.256402, NOD32: Win32/Agent.SRT trojan, AVAST4: Win32:Trojan-gen )
-