-
Junior Member
- Вес репутации
- 53
Заблокирован компьютер просят прислать 200 грн через систему Web-money
После серфинга в инете и перезагрузки появился баннер, блокирующий работу и с "просьбой" переслать 200 грн через систему Web-money. Пробовал найти и удалить блокировщик через загрузочный диск Касперского 2010 и через утилиту Dr.Web CureIt! не получилось (удаляет какие-то вирусы, но после перезагрузки снова баннер). Зайти через безопасный режим не могу, получаю "синий экран смерти", поэтому не могу воспользоваться утилитой HiJackThis чтоб сделать второй лог. Посмотрите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Давайте попробуем так:
1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
Должен появиться проводник.
2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
Код:
<диск с заблокированой ОС>:\WINDOWS\System32\config
Затем сообщите :
В ключе
Код:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
значение параметра
и значение параметра
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
hedgars
Здравствуйте.
Давайте попробуем так:
1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
Должен появиться проводник.
2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
Код:
<диск с заблокированой ОС>:\WINDOWS\System32\config
Затем сообщите :
В ключе
Код:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
значение параметра
и значение параметра
подгрузил куст на др компьютер
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit - C:\WINDOWS\system32\userinit.exe,
Shell - Explorer.exe
-
Перечислите параметры и их значения этого ключа:
Код:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
hedgars
Перечислите параметры и их значения этого ключа:
Код:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Раздел: HKEY_LOCAL_MACHINE\DIMA_Note\Microsoft\Windows\Cur rentVersion\Run
Название класса: <Класс отсутствует>
Последнее время записи: 02.12.10 - 11:56
Параметр 0
Название: HControl
Тип: REG_SZ
Значение: C:\WINDOWS\ATK0100\HControl.exe
Параметр 1
Название: RTHDCPL
Тип: REG_SZ
Значение: RTHDCPL.EXE
Параметр 2
Название: SMSERIAL
Тип: REG_SZ
Значение: C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
Параметр 3
Название: nod32kui
Тип: REG_SZ
Значение: "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
Параметр 4
Название: NeroFilterCheck
Тип: REG_SZ
Значение: C:\WINDOWS\system32\NeroCheck.exe
Параметр 5
Название: HPDJ Taskbar Utility
Тип: REG_SZ
Значение: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 2.exe
Параметр 6
Название: UpdateReminder
Тип: REG_SZ
Значение: C:\Program Files\Eset\UpdateReminder.exe
Раздел: HKEY_LOCAL_MACHINE\DIMA_Note\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents
Название класса: <Класс отсутствует>
Последнее время записи: 28.12.09 - 13:55
Раздел: HKEY_LOCAL_MACHINE\DIMA_Note\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents\IMAIL
Название класса: <Класс отсутствует>
Последнее время записи: 28.12.09 - 13:55
Параметр 0
Название: Installed
Тип: REG_SZ
Значение: 1
Раздел: HKEY_LOCAL_MACHINE\DIMA_Note\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents\MAPI
Название класса: <Класс отсутствует>
Последнее время записи: 28.12.09 - 13:55
Параметр 0
Название: Installed
Тип: REG_SZ
Значение: 1
Параметр 1
Название: NoChange
Тип: REG_SZ
Значение: 1
Раздел: HKEY_LOCAL_MACHINE\DIMA_Note\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents\MSFS
Название класса: <Класс отсутствует>
Последнее время записи: 28.12.09 - 13:55
Параметр 0
Название: Installed
Тип: REG_SZ
Значение: 1
-
Аналогичну информацию сообщите об этом ключе.
Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
hedgars
Аналогичну информацию сообщите об этом ключе.
Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Раздел: HKEY_LOCAL_MACHINE\USER\Software\Microsoft\Windows \CurrentVersion\Run
Название класса: <Класс отсутствует>
Последнее время записи: 15.07.11 - 16:54
Параметр 0
Название: CTFMON.EXE
Тип: REG_SZ
Значение: C:\WINDOWS\system32\ctfmon.exe
Параметр 1
Название: VistaIcon
Тип: REG_SZ
Значение: C:\Program Files\VistaDriveIcon\VistaDrv.exe
Параметр 2
Название: 0.6292443402366217.exe
Тип: REG_SZ
Значение: C:\Documents and Settings\Admin\Рабочий стол\0.6292443402366217.exe
Параметр 3
Название: 0.9557600764489652.exe
Тип: REG_SZ
Значение: C:\DOCUME~1\Admin\LOCALS~1\Temp\0.9557600764489652 .exe
Параметр 4
Название: 0.5443266219055672.dll
Тип: REG_SZ
Значение: C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5443266219055672 .dll
Добавлено через 12 минут
Параметр 2
Название: 0.6292443402366217.exe
Тип: REG_SZ
Значение: C:\Documents and Settings\Admin\Рабочий стол\0.6292443402366217.exe
Параметр 3
Название: 0.9557600764489652.exe
Тип: REG_SZ
Значение: C:\DOCUME~1\Admin\LOCALS~1\Temp\0.9557600764489652 .exe
Параметр 4
Название: 0.5443266219055672.dll
Тип: REG_SZ
Значение: C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5443266219055672 .dll
Если ли эти значения удалить из реестра, а файлы из папок - как я понимаю проблема должна решиться?
Последний раз редактировалось Alexa3310; 15.07.2011 в 22:24.
Причина: Добавлено
-
Удалите данные параметры:
Код:
Название: 0.6292443402366217.exe
Название: 0.9557600764489652.exe
Название: 0.5443266219055672.dll
Файлы пока не удаляйте.
Попробуйте загрузиться в нормальном режиме и сделать логи по правилам.
-
-
Junior Member
- Вес репутации
- 53
сделал в нормальном режиме, логи прикрепил
но файлы
C:\Documents and Settings\Admin\Рабочий стол\0.6292443402366217.exe
C:\DOCUME~1\Admin\LOCALS~1\Temp\0.9557600764489652 .exe
C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5443266219055672 .dll
остались
Последний раз редактировалось Alexa3310; 15.07.2011 в 22:54.
-
В логах ничего подозрительного.
Запакуйте файлы
Сообщение от
Alexa3310
C:\Documents and Settings\Admin\Рабочий стол\0.6292443402366217.exe
C:\DOCUME~1\Admin\LOCALS~1\Temp\0.9557600764489652 .exe
C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5443266219055672 .dll
в архив с паролем virus и закачайте его через красную ссылку "Прислать запрошенный карантин" наверху темы.
-
-
Junior Member
- Вес репутации
- 53
карантин выставил
Проблема устранена можно закрыть тему
Последний раз редактировалось Alexa3310; 16.07.2011 в 12:27.
-
Собственно, вот и тот, кем Вы были заражены.
KIS 2011=Зловред Trojan-Ransom.Win32.Fullscreen.kl; DrWEB 6.0=Зловред Trojan.Winlock.3333; VBA32=Файл чистый; BitDefender=Файл чистый; NOD32=Файл чистый; Avast4=Файл чистый (на 16.07.2011 10:02:35)
Файлы можете удалить.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
hedgars
Собственно, вот и тот, кем Вы были заражены. KIS 2011=Зловред Trojan-Ransom.Win32.Fullscreen.kl; DrWEB 6.0=Зловред Trojan.Winlock.3333; VBA32=Файл чистый; BitDefender=Файл чистый; NOD32=Файл чистый; Avast4=Файл чистый (на 16.07.2011 10:02:35)=Зловред Trojan-Ransom.Win32.Fullscreen.kl; DrWEB 6.0=Зловред Trojan.Winlock.3333; VBA32=Файл чистый; BitDefender=Файл чистый; NOD32=Файл чистый; Avast4=Файл чистый (на 16.07.2011 10:02:35)
Файлы можете удалить.
Плохо конечно что только KIS 2011 и DrWEB 6.0 смогли найти. Хотя я запускал DrWEB 6.0 Cure IT через Live CD и ничего не нашел.
Спасибо за помощь!!!!
Тему закрываем
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- \\0.5443266219055672.dll - Trojan-Ransom.Win32.Birele.oo ( DrWEB: Trojan.Winlock.3333, BitDefender: Trojan.Generic.KDV.292814, AVAST4: Win32:Malware-gen )
- \\0.6292443402366217.exe - Trojan-Ransom.Win32.Birele.oo ( DrWEB: Trojan.Winlock.3333, BitDefender: Trojan.Generic.KDV.292814, AVAST4: Win32:Malware-gen )
- \\0.9557600764489652.exe - Trojan-Ransom.Win32.Birele.oo ( DrWEB: Trojan.Winlock.3333, BitDefender: Trojan.Generic.KDV.292814, AVAST4: Win32:Malware-gen )
-