-
Junior Member
- Вес репутации
- 48
Возможно, MBRLocker! Баннер-вымогатель
Добрый день!
Поймал вымогателя такого же типа как в сообщении Mick Lost от 18.08.2011 17:43
http://virusinfo.info/showthread.php...EF%EE%F0%ED%EE
номера +7 9811295147 (...4(...71) , бла-бла-бла гей-порно и все дела.
вирь проник во время закачки фильма с letitbit.net, судя по времени модификации некотрых файлов
комп в это время никто не трогал.
антивир NOD32 даже не пикнул
Система Win-ХР SP3
в безопасном режиме та же картина, командная строка не поддерживается.
Первый раз успешно загрузился с LiveCD WIN-7, просмотрел файлы.
Это не 22cc6c32.exe, соответственно и explorer.exe на месте.
AVZ нашел несколько подозрительных файлов, (cf с непонятным расширением, левую библиотеку qzbfkya.dll) , которые я сразу же через TotalCommander и затёр.
тем не менее, при перезагрузке весёленькая картинка возобновилась.
Одновременно заблокировалась загрузка с любых LIVE-СD. Не исключено что подыхает привод, и это просто совпало с повышенными на него нагрузками.
В результате плясок с бубном удалось поставить на С: резервный Виндоус (в папку Windows2). При просмотре реестра с подзагрузкой "чужой" т.е. "зараженной" ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметры Shell и Userinit без изменений (на память не помню но соответствует норме).
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
параметр AppInit_DLLs отсылал к (уже затертой) qzbfkya.dll , его обнулил.
судя по косвенным данным это MBRLocker.
AVZ можно использовать для диагностики, но доступ к файлам/реестру только через "резервную" Windows.
В принципе, все нужные файлы вытащил на D: но просто очень уж не хочется форматить С: и переустанавливать систему.
Заранее благодарю за любые идеи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) AndrewS, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Загрузиться с дисрибутивного CD, войти в консоль восстановления, выполнить команды:
fixmbr
fixboot c:
exit
I am not young enough to know everything...
-
-
Это не MBRlock
Проверьте в реестре ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Если в ней есть папка userinit.exe, посмотрите значение параметра debug в этой папке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-