Показано с 1 по 11 из 11.

Очень "вредный" WinLock. (заявка № 105899)

  1. #1
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    27

    Exclamation Очень "вредный" WinLock.

    Здравствуйте!

    Мой знакомый на днях поймал себе на ноутбук некоего WinLock'а, который просит 500 рублей на номер 89117062506. Ни один из кодов активации, найденный мной на просторах инета не подошёл (kaspersky deblocker, dr.web deblock, nod32 и пара других, не помню уже каких, сайтов). Никакие волшебные комбинации вызвать тот же диспетчер не помогают. Но лазейку всё-же нашёл. Через установку нового принтера получается выйти в проводник, но здесь беда - баннер продолжает висеть, загораживая всё вокруг. Небольшое место по краям, для ориентирования остаётся. Файлы запускать можно. Пытался запустить AVZ, чтобы сделать логи, он, видимо, запускается, но висит под баннером. В безопасном режиме баннер тоже себя проявляет. Не знаю, что делать. LiveCD нет, к сожалению. Может как-нибудь стандартными способами?

    С уважением.
    Последний раз редактировалось cZ3r; 17.07.2011 в 19:42.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    27
    Запустил AVZ с режимами защиты (AM=Y AG=Y) через консоль. Сделал восстановление системы, полную проверку. Сам по себе появился десктоп. Запускаю AVZ повторно, при попытке собрать логи утилитой AVZ, она закрывается. Удалось сделать лог HiJackThis.
    Вложения Вложения

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    224
    Здравствуйте.
    Попробуйте так:
    1. Скачайте такой AVZ.
    2. Переименуйте его и попытайтесь запустить.
    3. Если не выйдет, создайте ярлык к AVZ (нажатие правой клавишей мыши по иконке AVZ->Создать ярлык (Create Shortcut)). Откройте свойства ярлыка, в поле "Объект" (Target) припишите к исходному значению строку:
    AM=Y AG=Y
    Попытайтесь запустить AVZ.

  5. #4
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    27
    С большим трудом удалось сделать 1 лог + полную проверку с virusinfo_cure.zip, который я загрузил по кнопке "Прислать запрошенный карантин".
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    C:\WINDOWS.0\system32\userinit.exe замените с аналогичной системы.
    Сделайте лог полного сканирования MBAM
    Paula rhei.
    Поддержать проект можно тут

  7. миднайт получил(а) благодарность за это сообщение от


  8. #6
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    27
    Завершаю процесс userinit.exe, кладу туда "чистый", через несколько минут снова появляется баннер.
    Дальше: глянул список процессов, в них появился 22СС6С32.exe, при завершении которого баннер снова исчез. Но есть ещё одна беда, она осталась - после запуска любого приложения - оно закрывается. И так каждые ~3 минуты. Т.е. никак не могу сделать лог MBAM.

    Update: Удалось запустить, делаю лог MBAM.
    Последний раз редактировалось cZ3r; 21.07.2011 в 14:15.

  9. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,482
    Вес репутации
    2914
    Заменять нужно с LiveCD
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #8
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    27
    Заменил. Прикрепляю лог.
    Вложения Вложения
    Последний раз редактировалось cZ3r; 21.07.2011 в 15:37.

  11. #9
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    27
    Всё, сам всё долечил. Спасибо всем, кто откликнулся!

  12. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Вот это в mbam нужно удалить:

    Код:
    Зараженные папки:
    c:\WINDOWS.0\system32\0F6226 (Worm.AutoRun) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC (Worm.AutoRun) -> No action taken.
    c:\WINDOWS.0\system32\76682F (Worm.AutoRun) -> No action taken.
    c:\WINDOWS.0\system32\ACF7EF (Worm.AutoRun) -> No action taken.
    
    Зараженные файлы:
    c:\Users\Admin\application data\netprotdrvss.exe (Backdoor.Bot) -> No action taken.
    c:\Users\Admin\application data\netprotocol.exe (Backdoor.Bot) -> No action taken.
    c:\Users\localservice\application data\microsoft\fuhozyhon.exe (Trojan.LVBP) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\cnvpe.fne (Worm.Autorun) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\dp1.fne (Worm.Autorun) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\eAPI.fne (Worm.Autorun) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\HtmlView.fne (HackTool.Patcher) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\internet.fne (HackTool.Patcher) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\krnln.fnr (Trojan.Agent) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\RegEx.fnr (Worm.AutoRun) -> No action taken.
    c:\documents and settings\Admin\application data\netprotocol.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\aegvvp.exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\spec.fne (Worm.AutoRun) -> No action taken.
    Paula rhei.
    Поддержать проект можно тут

  13. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,518
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) cZ3r, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Winlock "Online Antivirus" и те, кто менее заметны
      От groob в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 26.02.2010, 19:16
    3. Trojan.Winlock.97? "отправьте смс на номер 8353"
      От lightlymind в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.02.2010, 23:27
    4. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01603 seconds with 23 queries