Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Смс-вымогатель Черный фон, Красный текст (заявка № 108085)

  1. #1
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59

    Смс-вымогатель Черный фон, Красный текст

    здравтсвуйте на рабочем столе при загрузке возникает блокируещее все обявление . Текст про просмотр педофилии требование выслать 500 руб. Ничего сделать нельзя. Прошу помочь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) PEPPER, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    В реестр можно зайти с помощью alkid live cd
    правка параметров winlogol shell не помогает

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Блокировка появляется до логотипа Windows или после?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    После логотипа.Загружается рабочий стол какое то время даже можно сделать какие то манипуляции и накрывает все баннером.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от PEPPER Посмотреть сообщение
    правка параметров winlogol shell не помогает
    А значения параметров какие?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Shell - Explorer.exe
    Userinit - userinit

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в safe mode грузится ? если да попробуйте сделать логи

  10. Это понравилось:


  11. #9
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    нет. при загрузке безопаснного режима перезагружается.

  12. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Попробуйте безопасный режим с поддержкой коммандной строки. explorer - ввод - проводник.
    Paula rhei.
    Поддержать проект можно тут

  13. Это понравилось:


  14. #11
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Безопасный режим не щагружается нив каком виде. сразу происходит перезагрузка.

    Добавлено через 2 минуты

    Визуально стилистика баннера похожа на такую как на ссылке
    http://foto.mail.ru/mail/mrbelyash/WinLock/152.html#
    Последний раз редактировалось PEPPER; 31.08.2011 в 18:27. Причина: Добавлено

  15. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    с LIVE CD.
    Исправляйте параметры: shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано [тут буква вашего диска должна быть и путь к системе] C:\WINDOWS\system32\userinit.exe,) (включая запятую!).
    Пробуйте стартовать в проблемной системе
    Paula rhei.
    Поддержать проект можно тут

  16. #13
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Без изменений

  17. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Как-то очень шустро проверили и поправили параметры.
    Ну да ладно.
    Посмотрите другие ключи реестра, где может быть блокер в этой статье:
    http://wiki.drweb.com/index.php/Userinit
    если обнаружите что-то подозрительное, сообщите тут.
    Paula rhei.
    Поддержать проект можно тут

  18. #15
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    просто раньше уже в других темах смотрел исправлял. При этом значение параметра userinit после перезагрузки снова становится не прописанным адресом а значением userinit

  19. #16
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    В строке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run rjl indicdll прописано shellexecute.exe /h run-indicdll.cmd

    Строка HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, VmApplet] rundll32 shell32,control_Rundll "sysdm.cpl"


    В строках HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{xxxxx-xx-xx-xx-xxxxx}] в StubPath прописан путь к файлу shmgrate.exe

    Вот все что вызвало подозрение

  20. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от PEPPER Посмотреть сообщение
    Shell - Explorer.exe
    Userinit - userinit
    Это скорее параметры самого Live CD

    I этап (выполняется на чистой от вирусов машине)

    1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Registry Editor (около 120 Мбайт)
    2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

    II этап (выполняется на заблокированной машине)

    1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
    2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
    – когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
    – выберите необходимый язык из списка
    – выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
    – установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
    – выберите Kaspersky Registry Editor
    3. Откроется редактор реестра
    – выберите нужную систему (та, которая заблокирована), если у Вас их несколько
    – посмотрите в реестре:
    ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр userinit
    параметр shell
    Значения этих параметров напишите в своем сообщении

    – посмотрите в реестре в ветках HKEY_LOCAL_MACHINE и HKEY_USERS (это ветка профилей пользователей) все возможные параметры Run (поиском в реестре) на наличие неизвестных и подозрительных записей
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. Это понравилось:


  22. #18
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Там оказывается 2 папки Winlogon и winlogon
    папка winlogon которой не видел прежде параметр shell значение "Explorer.exe, С:\Program files\Common files\itunes\itunes.exe"

    в другой папке параметры userinit и shell соответствуют действительности
    D:\Windows\system32\userinit.exe и Explorer.exe
    Кроме того в папке Winlogon появился параметр usrint значение D:\Windows\system32\ykzoxl.exe - точно что то не то.

  23. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Код:
    С:\Program files\Common files\itunes\itunes.exe
    D:\Windows\system32\ykzoxl.exe
    Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    Цитата Сообщение от PEPPER Посмотреть сообщение
    папка winlogon которой не видел прежде
    Удалите, только не перепутайте - именно ту, что с маленькой буквы и единственным параметром shell

    Цитата Сообщение от PEPPER Посмотреть сообщение
    Кроме того в папке Winlogon появился параметр usrint
    Удалите этот параметр
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  24. Это понравилось:


  25. #20
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Файл закачал. Ykzoxl.exe по адресу не оказалось. возможно старый вирус оставшийся в реестре.

    Добавлено через 39 минут

    Еще из найденного в Run
    параметр 0.7109кучацифр.exe отправлю файл в карантин

    Добавлено через 1 час 1 минуту

    Закачал. второй файл. уверен что все дело в нем.
    Последний раз редактировалось PEPPER; 05.09.2011 в 15:15. Причина: Добавлено

  • Уважаемый(ая) PEPPER, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 22.08.2011, 21:47
    2. Ответов: 12
      Последнее сообщение: 18.06.2010, 08:55
    3. красный порнобаннер
      От masusik в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.03.2010, 13:06
    4. Вымогатель 8353 текст 6139001, недобил
      От solv в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.03.2010, 11:34
    5. СМС- вымогатель номер 3649 текст 2146
      От akalibr в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.01.2010, 07:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00519 seconds with 19 queries