-
Junior Member
- Вес репутации
- 55
WINDOWS Заблокирован
Здравствуйте. Появился баннер с номером телефона +79180422590 и суммой 500руб. Все заблокировано, логи не получается сделать. Прогнал LiveCD, не помогло. Пробовал разблокировщиками, не находят такой номер. Что-то новенькое наверно. Подскажите для начала, что подправить в реестре чтоб запустить винду? ERDCommander присутствует дома на диске.
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Foxtrot_1, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 55
Вопрос: можно сделать логи из под LiveCD?
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
В безопасном режиме баннер есть?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
В безопасном режиме баннер есть?
Да, есть.
Сейчас вошел с LiveCD, проверяю утилитой AVZ 4.37 с обновленными базами.
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Логи с Live CD бесполезны
I этап (выполняется на чистой от вирусов машине)
1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости
II этап (выполняется на заблокированной машине)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении
Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
На данный момент работаю с USB модема, скачать Kaspersky Rescue Disk пока не могу. Есть LiveCD с возможностью редактирования реестра (ERDCommander).
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении
параметр userinit - userinit
параметр shell - Explorer.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и
HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run
Сделал экспорт двух веток, файл Export.rar (внутри 001.reg и 002.reg по первой и второй ветке соответственно).
Последний раз редактировалось Foxtrot_1; 01.04.2012 в 15:41.
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
ERDCommander не поможет
Ждем экспорт веток при помощи KRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Junior Member
- Вес репутации
- 55
Запустил Kaspersky Registry Editor,
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit - С:\Windows\system32\userinit.exe,
параметр shell - explorer.exe
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
C:\Users\USER\AppData\Local\Microsoft\Windows\Temp orary Internet Files\Content.IE5\5U4JYHLI\files_load1[1].exe - Ваш блокировщик
Переименуйте этот файл с помощью Менеджера файлов из состава Rescue Disk
В ветке
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
удалите параметр
Код:
"Shell2"="C:\\Users\\USER\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.IE5\\5U4JYHLI\\files_load1[1].exe"
Пробуйте стартовать в нормальном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Запустилось, спасибо. прилагаю логи.
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Переименованный файл блокирвщика запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\Users\USER\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5U4JYHLI\files_load1[1].exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Закачал:
Файл сохранён как 120404_050206_files_load_4f7bd5cee1289.zip
Размер файла 47606
MD5 bcd2304a10e36d9618caf2ec06966c2b
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
...
Сообщение от
thyrex
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 55
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Большое человеческое спасибо!
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\files_load.exe - Trojan.Win32.Jorik.Downloader.apd ( DrWEB: Trojan.Winlock.5802, BitDefender: Trojan.Generic.KDV.584196, AVAST4: Win32:VB-ACAM [Trj] )
-