Добрый вечер! Лечил компьютер знакомым, баннер появлялся:"Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания........Для активации системы необходимо: Пополнить номер абонента МТС: +79133915809 на сумму 2000 рублей.....", всё блокировал, в безопасном режиме тоже появлялся. Я выполнил лечение с помощью Kaspersky Rescue Disk, так же тамошней утилитой Kaspersky WindowsUnlocker выполнил разблокировку командой windowsunlocker в терминале. Касперским нашлось несколько троянцев, баннер исчез, затем в безопасном режиме лечил утилитой Dr.WebCureIt!Тоже нашлось несколько зараженных файлов.Названия найденных вредоносов к сожалению не запомнил. Потом перезагрузился, баннера не было.Я вошел в интернет, открыл Firefox и вдруг через минут пять этот же баннер снова появился. Использованные в предыдущем лечении утилита и диск уже не помогают,а в безопасном режиме система уходит в BSOD с ошибкой STOP: 0*0000007B (0*F789E524, 0*C0000034, 0*00000000, 0*00000000) .
Посмотрел в реестре ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр userinit имеет значение C:\WINDOWS\system32\userinit.exe, параметр shell имеет значение explorer.exe Вот экспорт ветокреестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run
окно с блокером появляется появляется после логотипа windows
Последний раз редактировалось alelvl; 17.08.2012 в 02:20.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) alelvl, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
"C:\\Documents and Settings\\Admin\\ms.exe"="C:\\Documents and Settings\\Admin\\ms.exe"
Эту запись удалите в редакторе реестра.
Затем попробуйте загрузить в обычном режиме и сделать логи по правилам.
Сначала я удалил эту запись - не помогло, баннер снова появился и при повторной загрузке с Kaspersky Rescue Disk эта удаленная в прошлый раз запись была на том же месте. Затем я удалил сам файл ms.exe и выполнил поиск в реестре по ключевому слову ms.exe, нашлось две записи: первую я удалил, там был параметр из набора букв а в значении был указан путь к ms.exe. Вторым нашелся параметр shell в значении которого тоже был указан путь к файлу ms.exe, вместо него я прописал explorer.exe. Помогло. Баннер не появился больше.
Кстати, вот так выглядел баннер IMG_3188.JPG
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: