-
Junior Member
- Вес репутации
- 47
Блокировщик-вымогатель тел.8-965-191-35-03
Добрый вечер!
Прошу Вас помочь разблокировать Windows. Поймал, похоже, самый свежий Троян Винлок или маскирующийся под него руткит.
Кода разблокировки ни на одном сайте не нашел, описания вымогателя который просит пополнить баланс именно этого номера телефона в сети тоже не нашёл..
Симптомы:
Вирус полностью блокирует диспетчер задач (окно Диспетчера даже не моргает), не позволяет загружаться ни в одном из безопасных режимов.
Блокирующее окно появляется сразу вслед за загрузкой эксплоэра, примерно через 1 секунду.
Выходит вот это сообщение:
Внимание! Windows заблокирован!
Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы просматривали не лицензированные фильмы содержащие ГЕЙ-ПОРНО.
Для разблокировки Windows необходимо:
Пополнить номер абонента Билайн 8-965-191-35-03 на сумму 500 рублей.
Оплатить можно через терминал для оплаты сотовой связи, или в любом салоне сотовой связи. После оплаты, на выданном терминалом чеке, или чеке, выданном в салоне сотовой связи, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже:
Внимание! Любые действия, связанные с попыткой обмануть систему могут нанести вред вашему компьютеру и привести к потере важной информации.
Заходил в систему с помощью ERD Commander 2009 - в реестре, где обычно прописываются подобного рода вирусы, всё отлично:
shell - Explorer.exe,
userunit - c:\Windows\system32\userunit.exe
Заходил также в систему с помощью Kaspersky Rescue Disk 10, запускал Kaspersky WindowsUnlocker, проверял с помощью Resque Disk на наличие вредноносных программ - результата никакого.
Shell – ОК
Userinit – OK
все NTUSER.DAT opened successfully
Единственное, что не заблокировал вирус - на компе 2 пользователя, от имени второго пользователя спокойно захожу в систему, подключаю интернет, работаю в системе.
Запускал менеджер автозагрузки - там тоже нет ничего подозрительного.
Буду Вам очень признателен за помощь в борьбе с этим вирусом.
Вложенные файлы - результат анализа системы, загруженной от второго пользователя, системы без загруженного вируса .
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Handino, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сделайте лог MBAM. Сканируйте раздел, в котором установлена зараженная система.
-
-
Junior Member
- Вес репутации
- 47
Лог сделал, отсканировал системный диск C, режим сканирования - полный.
Похоже, что Malwarebytes нашла его в:
...Temp\0546480318218572.exe (Exploit.Drop.2)
-
Вот он и есть:
c:\documents and settings\Dmitriy\local settings\Temp\0.546480318218572.exe (Exploit.Drop.2) -> No action taken.
Удалите с помощью МВАМ этот файл, загрузите зараженную ОС и сделайте новый комплект логов
-
-
Junior Member
- Вес репутации
- 47
Nephilim, огромное Вам спасибо!
Реестр почистил Рег органайзером, систему проверил утилитой Dr.Web Curelt.
Система работает стабильно.
Сделал копию этого вируса - сейчас разошлю его по лабораториям Касперского и Доктора Веба, их утилиты так до сих пор этот вирус обнаружить не могут. Установленный у меня Аваст тоже не видит вируса .
Не знал о существовании такой супер-утилиты, как MBAM, зря, наверное, на сайте говорится, что после её однократного использования лучше её удалить. По крайней мере она справилась с тем, что не удалось очень известным антивирусным утилитам.
Комплект логов сделал, посмотрите, пожалуйста, может быть что-то удалить нужно из системы.
Да, и хочу предостеречь всех от посещения сайта, где поймал этот вирус:
Последний раз редактировалось thyrex; 21.06.2011 в 19:47.
Причина: Убрал ссылку
-
Сообщение от
Handino
Сделал копию этого вируса
Пришлите и нам В зип-архиве с паролем virus по ссылке прислать запрошенный карантин вверху этой темы.
Сообщение от
Handino
Не знал о существовании такой супер-утилиты, как MBAM, зря, наверное, на сайте говорится, что после её однократного использования лучше её удалить.
Зря или нет, но процент ложных срабатываний у неё велик. Поэтому мы просим ничего не удалять без предварительной консультации. В этом случае она оказалась полезной.
В логах чисто.
-
-
Junior Member
- Вес репутации
- 47
Файл отправил.
0.546480318218572.zip
Огромное спасибо за помощь!
-
Сообщение от
Handino
0.546480318218572.zip
Спасибо.
-
-
Junior Member
- Вес репутации
- 47
В общем система работает стабильно, только вот какая проблема останется после удаления вируса: не загружается ни один из безопасных режимов.
Решил эту проблему так:
1. Для начала включил восстановление системы (восстановление системы, согласно правил, было отключено для сбора информации)
Пуск - Производительность и обслуживание - Система - Отключить галочку Отменить восстановление системы - Применить
2. Запустил утилиту AVZ
Далее Файл - Восстановление системы - поставить галочку в пункте 10. Восстановление настроек загрузки в SafeMode - Выполнить отмеченные операции - Да
После работы AVZ все Безопасные режимы загружаются без проблем.
Думаю, эта информация будет полезна тем, кто столкнётся с этим вирусом и в итоге найдёт эту тему.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\0.546480318218572.exe - Trojan-Ransom.Win32.Fullscreen.ka ( DrWEB: Trojan.KillProc.9299, BitDefender: Trojan.Generic.6168514 )
-