Показано с 1 по 14 из 14.

Заблокирован WINDOWS (заявка № 120639)

  1. #1
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    19
    Вес репутации
    51

    Заблокирован WINDOWS - баннер на мобилку 500 рублей

    Сегодня весь день борюсь и очень устала - не удалось победить баннер (опыт уже имеется, но полтора года их у меня уже не было).
    Нашла аналогичный баннер в теме http://virusinfo.info/showthread.php...l=1#post891486 - ответить там мне почему-то не удалось...
    Итак, баннер ТОЧНО такой и содержание такое же. Вот только телефон +79879456231 Перечислить на МТС 500 рублей).
    Что интересно, в безопасном режиме тоже в ВИНДУ попадает.
    Я пошла бороться в безопасном из диска D ( у меня на компе 2 оперативки- одна на C, другая на D).
    Конечно , по жанру классики диспетчер задач заблокирован и т.д., как они обычно делают.
    Не могу найти название этого Трояна , ну никак!...
    Вот что удалось увидеть в автозагрузке в Клеанере ( на диске D только с правами администратора!!!!) :
    Startup User _uninst_.lnk D:\WINDOWS\Temp\_uninst_.bat
    Startup User _uninst_55490917.lnk D:\WINDOWS\Temp\_uninst_55490917.bat
    Но это не то, что я хотела показать - сейчас я в оперативке на диске D , как юзер, а те интересные файлы остались на этом же диске, только, когда я вошла на него как администратор в безопасном режиме.
    Позже покажу!
    Так что баннер у меня сейчас до сих пор сидит на оперативке диска C - очень устала дальше работать .
    Написала информацию потому, что , как столкнулась, то везде подобное искала! Поэтому, может еще кому-то пригодится и буду продолжать тему, пока не поборю ЭТОТ баннер!
    Может , кто что уже знает о нем, как побороть?- я реестры чистила и удаляла эти строчки!!! По всему компу за ним гоняюсь ( я умею переходить в другую оперативку, находясь в первой!).
    ...Странно, откуда он у меня взялся?- работаю все время в виртуальной машине... Совсем немного сайтов прохожу без нее.
    Неужели выскочил из сайтов с виртуальной машины???
    Да!!! Винлогон и Юзеринит у меня в реестре все были правильно прописаны!!!!
    Последний раз редактировалось Galaiey; 24.05.2012 в 18:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Galaiey, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    19
    Вес репутации
    51
    позже сделаю, потому что в ЭТОЙ оперативке надо ВСЕ проги обновлять!!!

    вот еще новости: долго Аваст сканировал и выдал угрозу. Путь C\Documents and Settings\Администратор\Application Data\E642/587 Высокая угроза:INI:Cycbot-gen [Trj]. В карантин переместила. Решила вручную по пути пойти, \Application Dana\E642/587 не увидела (папки невидимые вижу!), зато вижу на пути C\Documents and Settings\Администратор странный чемодан 0.6787573559763218.exe показываю его скриншотом http://SSMaker.Ru/4cb78c79/
    2. А мальбаребут тоже закончил сканировать весь комп и НИЧЕГО не нашел!!!
    Последний раз редактировалось Galaiey; 24.05.2012 в 01:59.

  5. #4
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    19
    Вес репутации
    51
    Вот еще новости.!!!
    Вчера не удержалась и (после проверки Авастом и Мальбаребутом чемоданчика, которые НИЧЕГО в нем не нашли!!!)...открыла этот чемоданчик!...
    И из него выскочил баннер вымогатель...- так я заразила от сверхлюбопытства и на втором диске ПО.
    Сегодня все с нуля. Только что передала вам результаты. Чемоданчик я перед этим удалила совсем. Чистила комп AVZ-файл нашелся подозрительный, лежит в в архиве virusinfo_cure - я его вам не высылала. . После чистки сделала по инструкции 3 операции.
    Лечите, пжта! Мне важно зайти на комп с диска C !

    Почему у меня висит "Прислать запрошенный карантин" даже после того, как я вам их отправила???- но я пароля не делала в архиве. Это обязательно надо?

    Да, и вчера я обещала показать , что было в Клеанере в автозагрузке до начала моего лечения (может пригодятся данные):
    раздел программа файл

    Да HKCU:RunOnce Rebuild Icon Cache REBUILDI.EXE

    Да HKCU:RunOnce IE7_00 regsvr32 /s /n /i:u shell32

    Да HKCU:RunOnce IE7_01 rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N

    Вчера я все ЭТО удаляла из реестра- сейчас они опять там торчат! Интересно, чтО их восстанавливает там???
    Вложения Вложения
    Последний раз редактировалось Galaiey; 24.05.2012 в 18:21.

  6. #5
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    19
    Вес репутации
    51
    Посмотрите мои файлы и подскажите, пжта, а то я сижу, как на вокзале и жду- мне надо на диск С !!!
    И почему-то у меня конвертик закрыт... ??? Или надо по-новой вопрос задавать?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Войдите в проблемную систему в Безопасном режиме с поддержкой командной строки, наберите команду explorer.exe и сделайте логи согласно п.2 и 3 раздела Диагностика.
    I am not young enough to know everything...

  8. Это понравилось:


  9. #7
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    19
    Вес репутации
    51
    Cпасибо!
    Все сделала!
    Логи пунктов 2 и 3 прилагаю
    В реестре на диске С показания юзеринит и Shell в норме!
    Вложения Вложения
    Последний раз редактировалось Galaiey; 25.05.2012 в 16:11.

  10. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Логи не в той системе?
    Не создавайте путаницу! Работаем только с зараженной системой, логи из другой бесполезны.
    I am not young enough to know everything...

  11. #9
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    19
    Вес репутации
    51
    Странно...весьма...
    Вами не было сказано, чтобы я, находясь в безопасном режиме на диске С, сделала логи..., тем более, что по пункту 2 и 3 надо включить интернет, а там ( в безопасном) это невозможно.
    Я вышла из безопасного с диска С и сделала логи по пунктам 2 и 3 , вот только в AVZ отметила птичкой ОБА диска -С и D...
    Уточните рекомендацию сделать логи! Находясь где?
    Я поняла, что моих логов достаточно- я их сделала на диске D, но они включают и диск С. Могу снова сделать логи с диска D, но птичку не буду ставить диска D при выполнении пункта 2 в AVZ.
    Так что, если ТАК и надо было делать ( что и ТОЛЬКО ТАК получается) то в моих логах есть диск С и D, - лог диска D - в таком случае -можно не просматривать)
    ЗЫ. пункт 2 гласит: "2. Подключитесь к сети Интернет..." - КАК я в безопасном режиме его включу??? Я- блондинка?!

  12. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Galaiey Посмотреть сообщение
    Уточните рекомендацию сделать логи! Находясь где?
    Находясь в той системе, которая поражена блокировщиком!
    Для этого нужно войти в нее в Безопасном режиме с поддержкой командной строки и набрать команду explorer.exe. Тогда у вас будет возможность запускать программы и делать логи. Понятно, что в безопасном режиме интернет вы не подключите, но это и не требуется. Отмечать птичками диски в AVZ тоже не нужно. Просто выполнить стандартный скрипт #2.
    I am not young enough to know everything...

  13. Это понравилось:


  14. #11
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    19
    Вес репутации
    51
    Cпасибо - теперь понятно. Отчитываюсь:
    Удалось как-то с первого раза войти на диск С в обычном режиме. С диска D на диск С перетащила проги для логов. Интернет и 2 браузера включены, Аваст выключен, скрипты выполнены полностью по инструкции пунктов 2 и 3 ! Папка virusinfo_cure тоже создалась-вам ее не отправляю.
    Вложения Вложения
    Последний раз редактировалось Galaiey; 26.05.2012 в 16:13.

  15. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Файла блокировщика больше нет. Либо он самоликвидировался, либо вы его каким-то образом удалили.

    Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:63758;
    F2 - REG:system.ini: UserInit=userinit.exe,
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (file missing)
    O4 - HKCU\..\Run: [S9135144] C:\Documents and Settings\Администратор\0.6787573559763218.exe
    O4 - HKCU\..\Run: [S19913916] C:\Documents and Settings\Администратор\0.6787573559763218.exe
    O4 - HKCU\..\Run: [S32996] C:\Documents and Settings\Администратор\0.6787573559763218.exe
    O4 - HKCU\..\Run: [S14814934] C:\Documents and Settings\Администратор\0.6787573559763218.exe
    O4 - HKCU\..\Run: [S6659154] C:\Documents and Settings\Администратор\0.6787573559763218.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
    SetServiceStart('Alerter', 4);
    SetServiceStart('TlntSvr', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Если все нормально, повтроные логи можно не делать.
    I am not young enough to know everything...

  16. #13
    Junior Member Репутация
    Регистрация
    16.06.2010
    Сообщений
    19
    Вес репутации
    51
    Фиксить нечего было)- только профиксила строчку F2 - REG:system.ini: UserInit=userinit.exe, -остального уже ничего не было на данное время.
    Папку чемоданчика с баннером C:\Documents and Settings\Администратор\0.6787573559763218.exe я убрала находясь в оперативке с диска D.
    Мне помог ваш совет " Войдите в проблемную систему в Безопасном режиме с поддержкой командной строки, наберите команду explorer.exe и сделайте логи согласно п.2 и 3 раздела Диагностика. " После выполнения я смогла зайти на диск С свободно. Делала ваши предписания и уже целый день работаю на операционке диска С.
    Правда, после выполнения предписаний я еще чистила "хвосты" . CCleaner убрал в реестре HKCU\..\Run: [S9135144] C:\Documents and Settings\Администратор\0.6787573559763218.exe
    O4 - HKCU\..\Run: [S19913916] C:\Documents and Settings\Администратор\0.6787573559763218.exe
    O4 - HKCU\..\Run: [S32996] C:\Documents and Settings\Администратор\0.6787573559763218.exe
    O4 - HKCU\..\Run: [S14814934] C:\Documents and Settings\Администратор\0.6787573559763218.exe
    O4 - HKCU\..\Run: [S6659154] C:\Documents and Settings\Администратор\0.6787573559763218.exe
    Это я заметила.
    Потом прошлась еще и WindowsDoctor, поправила настройки браузера - много настроек было сбито.
    Да, еще и скрип выполнили- на всякий случай, отчасти потому, что его не понимаю).
    Перегрузилась- все нормально.
    Спасибо! Все хорошо!
    У меня просьба к вам огромная!!!
    Уже месяца 2 при включении (запуске) виртуальной машины, у меня постоянно Avast сообщает о вирусной угрозе URL:Mal - вот так это выглядит
    Детали заражения
    URL: http://yzfkiller.net/yzf/cmd.php
    Процесс: C:\PROGRA~1\Oracle\VIRTUA~1\VirtualBox.e...
    Инфекция: URL:Mal"
    и потом при просмотре сайтов (немного работаю в интернете) постоянно блокирует эту угрозу URL:Mal
    Как мне создать заявку? Какие скрипты где делать???- ума не приложу. Я уже AVZ и HiJackThis перетащила на виртуалку и там все делала-лечила и Мальбаребутом (который на виртуалке не работает совсем!!!). Все равно ситуация всё та же- без изменений!.
    Сделала лог в AVZ и в HijackThis , находясь в виртуалке. Посмотрите пжта, или дайте рекомендации, может новую заявку делать?
    Вложения Вложения

  17. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Galaiey Посмотреть сообщение
    Сделала лог в AVZ и в HijackThis , находясь в виртуалке. Посмотрите пжта, или дайте рекомендации, может новую заявку делать?
    для каждой системы отдельная тема. Для виртуалки создайте новую тему и прикрепите эти логи туда.
    PS. в логах видно заражение.

  • Уважаемый(ая) Galaiey, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Заблокирован Windows
      От Оле_Лукойе в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.05.2012, 09:27
    2. WINDOWS Заблокирован
      От Foxtrot_1 в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 05.04.2012, 19:21
    3. WINDOWS ЗАБЛОКИРОВАН
      От елена2603 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 31.03.2012, 01:53
    4. Windows Заблокирован!
      От Артём95 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.01.2012, 18:19
    5. Windows заблокирован
      От orbison в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 09.01.2012, 00:59

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00675 seconds with 18 queries