Показано с 1 по 14 из 14.

Заблокирован компьютер просят прислать 200 грн через систему Web-money (заявка № 105799)

  1. #1
    Junior Member Репутация
    Регистрация
    21.11.2009
    Сообщений
    109
    Вес репутации
    53

    Заблокирован компьютер просят прислать 200 грн через систему Web-money

    После серфинга в инете и перезагрузки появился баннер, блокирующий работу и с "просьбой" переслать 200 грн через систему Web-money. Пробовал найти и удалить блокировщик через загрузочный диск Касперского 2010 и через утилиту Dr.Web CureIt! не получилось (удаляет какие-то вирусы, но после перезагрузки снова баннер). Зайти через безопасный режим не могу, получаю "синий экран смерти", поэтому не могу воспользоваться утилитой HiJackThis чтоб сделать второй лог. Посмотрите пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Здравствуйте.
    Давайте попробуем так:
    1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
    Должен появиться проводник.
    2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
    Код:
    <диск с заблокированой ОС>:\WINDOWS\System32\config
    Затем сообщите :
    В ключе
    Код:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    значение параметра
    Код:
    Userinit
    и значение параметра
    Код:
    Shell

  4. Это понравилось:


  5. #3
    Junior Member Репутация
    Регистрация
    21.11.2009
    Сообщений
    109
    Вес репутации
    53
    Цитата Сообщение от hedgars Посмотреть сообщение
    Здравствуйте.
    Давайте попробуем так:
    1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
    Должен появиться проводник.
    2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
    Код:
    <диск с заблокированой ОС>:\WINDOWS\System32\config
    Затем сообщите :
    В ключе
    Код:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    значение параметра
    Код:
    Userinit
    и значение параметра
    Код:
    Shell
    подгрузил куст на др компьютер
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit - C:\WINDOWS\system32\userinit.exe,
    Shell - Explorer.exe

  6. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Перечислите параметры и их значения этого ключа:
    Код:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  7. Это понравилось:


  8. #5
    Junior Member Репутация
    Регистрация
    21.11.2009
    Сообщений
    109
    Вес репутации
    53
    Цитата Сообщение от hedgars Посмотреть сообщение
    Перечислите параметры и их значения этого ключа:
    Код:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    Раздел: HKEY_LOCAL_MACHINE\DIMA_Note\Microsoft\Windows\Cur rentVersion\Run
    Название класса: <Класс отсутствует>
    Последнее время записи: 02.12.10 - 11:56
    Параметр 0
    Название: HControl
    Тип: REG_SZ
    Значение: C:\WINDOWS\ATK0100\HControl.exe

    Параметр 1
    Название: RTHDCPL
    Тип: REG_SZ
    Значение: RTHDCPL.EXE

    Параметр 2
    Название: SMSERIAL
    Тип: REG_SZ
    Значение: C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe

    Параметр 3
    Название: nod32kui
    Тип: REG_SZ
    Значение: "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

    Параметр 4
    Название: NeroFilterCheck
    Тип: REG_SZ
    Значение: C:\WINDOWS\system32\NeroCheck.exe

    Параметр 5
    Название: HPDJ Taskbar Utility
    Тип: REG_SZ
    Значение: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 2.exe

    Параметр 6
    Название: UpdateReminder
    Тип: REG_SZ
    Значение: C:\Program Files\Eset\UpdateReminder.exe

    Раздел: HKEY_LOCAL_MACHINE\DIMA_Note\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents
    Название класса: <Класс отсутствует>
    Последнее время записи: 28.12.09 - 13:55

    Раздел: HKEY_LOCAL_MACHINE\DIMA_Note\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents\IMAIL
    Название класса: <Класс отсутствует>
    Последнее время записи: 28.12.09 - 13:55
    Параметр 0
    Название: Installed
    Тип: REG_SZ
    Значение: 1

    Раздел: HKEY_LOCAL_MACHINE\DIMA_Note\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents\MAPI
    Название класса: <Класс отсутствует>
    Последнее время записи: 28.12.09 - 13:55
    Параметр 0
    Название: Installed
    Тип: REG_SZ
    Значение: 1

    Параметр 1
    Название: NoChange
    Тип: REG_SZ
    Значение: 1

    Раздел: HKEY_LOCAL_MACHINE\DIMA_Note\Microsoft\Windows\Cur rentVersion\Run\OptionalComponents\MSFS
    Название класса: <Класс отсутствует>
    Последнее время записи: 28.12.09 - 13:55
    Параметр 0
    Название: Installed
    Тип: REG_SZ
    Значение: 1

  9. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Аналогичну информацию сообщите об этом ключе.
    Код:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  10. Это понравилось:


  11. #7
    Junior Member Репутация
    Регистрация
    21.11.2009
    Сообщений
    109
    Вес репутации
    53
    Цитата Сообщение от hedgars Посмотреть сообщение
    Аналогичну информацию сообщите об этом ключе.
    Код:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Раздел: HKEY_LOCAL_MACHINE\USER\Software\Microsoft\Windows \CurrentVersion\Run
    Название класса: <Класс отсутствует>
    Последнее время записи: 15.07.11 - 16:54
    Параметр 0
    Название: CTFMON.EXE
    Тип: REG_SZ
    Значение: C:\WINDOWS\system32\ctfmon.exe


    Параметр 1
    Название: VistaIcon
    Тип: REG_SZ
    Значение: C:\Program Files\VistaDriveIcon\VistaDrv.exe


    Параметр 2
    Название: 0.6292443402366217.exe
    Тип: REG_SZ
    Значение: C:\Documents and Settings\Admin\Рабочий стол\0.6292443402366217.exe


    Параметр 3
    Название: 0.9557600764489652.exe
    Тип: REG_SZ
    Значение: C:\DOCUME~1\Admin\LOCALS~1\Temp\0.9557600764489652 .exe


    Параметр 4
    Название: 0.5443266219055672.dll
    Тип: REG_SZ
    Значение: C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5443266219055672 .dll

    Добавлено через 12 минут

    Параметр 2
    Название: 0.6292443402366217.exe
    Тип: REG_SZ
    Значение: C:\Documents and Settings\Admin\Рабочий стол\0.6292443402366217.exe
    Параметр 3
    Название: 0.9557600764489652.exe
    Тип: REG_SZ
    Значение: C:\DOCUME~1\Admin\LOCALS~1\Temp\0.9557600764489652 .exe
    Параметр 4
    Название: 0.5443266219055672.dll
    Тип: REG_SZ
    Значение: C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5443266219055672 .dll

    Если ли эти значения удалить из реестра, а файлы из папок - как я понимаю проблема должна решиться?
    Последний раз редактировалось Alexa3310; 15.07.2011 в 22:24. Причина: Добавлено

  12. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Удалите данные параметры:
    Код:
    Название: 0.6292443402366217.exe
    Название: 0.9557600764489652.exe
    Название: 0.5443266219055672.dll
    Файлы пока не удаляйте.
    Попробуйте загрузиться в нормальном режиме и сделать логи по правилам.

  13. Это понравилось:


  14. #9
    Junior Member Репутация
    Регистрация
    21.11.2009
    Сообщений
    109
    Вес репутации
    53
    сделал в нормальном режиме, логи прикрепил

    но файлы
    C:\Documents and Settings\Admin\Рабочий стол\0.6292443402366217.exe
    C:\DOCUME~1\Admin\LOCALS~1\Temp\0.9557600764489652 .exe
    C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5443266219055672 .dll

    остались
    Последний раз редактировалось Alexa3310; 15.07.2011 в 22:54.

  15. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    В логах ничего подозрительного.
    Запакуйте файлы
    Цитата Сообщение от Alexa3310 Посмотреть сообщение
    C:\Documents and Settings\Admin\Рабочий стол\0.6292443402366217.exe
    C:\DOCUME~1\Admin\LOCALS~1\Temp\0.9557600764489652 .exe
    C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5443266219055672 .dll
    в архив с паролем virus и закачайте его через красную ссылку "Прислать запрошенный карантин" наверху темы.

  16. Это понравилось:


  17. #11
    Junior Member Репутация
    Регистрация
    21.11.2009
    Сообщений
    109
    Вес репутации
    53
    карантин выставил

    Проблема устранена можно закрыть тему
    Последний раз редактировалось Alexa3310; 16.07.2011 в 12:27.

  18. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Собственно, вот и тот, кем Вы были заражены.
    KIS 2011=Зловред Trojan-Ransom.Win32.Fullscreen.kl; DrWEB 6.0=Зловред Trojan.Winlock.3333; VBA32=Файл чистый; BitDefender=Файл чистый; NOD32=Файл чистый; Avast4=Файл чистый (на 16.07.2011 10:02:35)
    Файлы можете удалить.

  19. Это понравилось:


  20. #13
    Junior Member Репутация
    Регистрация
    21.11.2009
    Сообщений
    109
    Вес репутации
    53
    Цитата Сообщение от hedgars Посмотреть сообщение
    Собственно, вот и тот, кем Вы были заражены. KIS 2011=Зловред Trojan-Ransom.Win32.Fullscreen.kl; DrWEB 6.0=Зловред Trojan.Winlock.3333; VBA32=Файл чистый; BitDefender=Файл чистый; NOD32=Файл чистый; Avast4=Файл чистый (на 16.07.2011 10:02:35)=Зловред Trojan-Ransom.Win32.Fullscreen.kl; DrWEB 6.0=Зловред Trojan.Winlock.3333; VBA32=Файл чистый; BitDefender=Файл чистый; NOD32=Файл чистый; Avast4=Файл чистый (на 16.07.2011 10:02:35)
    Файлы можете удалить.
    Плохо конечно что только KIS 2011 и DrWEB 6.0 смогли найти. Хотя я запускал DrWEB 6.0 Cure IT через Live CD и ничего не нашел.
    Спасибо за помощь!!!!
    Тему закрываем

  21. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. \\0.5443266219055672.dll - Trojan-Ransom.Win32.Birele.oo ( DrWEB: Trojan.Winlock.3333, BitDefender: Trojan.Generic.KDV.292814, AVAST4: Win32:Malware-gen )
      2. \\0.6292443402366217.exe - Trojan-Ransom.Win32.Birele.oo ( DrWEB: Trojan.Winlock.3333, BitDefender: Trojan.Generic.KDV.292814, AVAST4: Win32:Malware-gen )
      3. \\0.9557600764489652.exe - Trojan-Ransom.Win32.Birele.oo ( DrWEB: Trojan.Winlock.3333, BitDefender: Trojan.Generic.KDV.292814, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Alexa3310, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 8
      Последнее сообщение: 30.05.2012, 03:10
    2. Ответов: 1
      Последнее сообщение: 13.09.2010, 17:22
    3. Просят прислать код пополнения на [email protected]
      От Сергей Зедос в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.01.2010, 23:53
    4. Ответов: 8
      Последнее сообщение: 25.07.2009, 10:36
    5. Ответов: 8
      Последнее сообщение: 23.05.2009, 22:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01077 seconds with 17 queries