-
Junior Member
- Вес репутации
- 41
WinLock 9128430896
Выскочило сообщение о блокировке Windows. Просят положить 1000 руб. на телефон +7 9128430896.
Курсор активен только в пределах окна.
Компьютер загружается под другим пользователем.
Помогите пожалуйста.
Вложение 414199
Вложение 414200
Вложение 414201
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) cragx, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Логи из работающей учетки бесполезны.
В каком-либо из безопасных режимов загружается без блокировки в прроблемной учетке?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 41
Нет, в безопасном режиме такая же картина с блокировкой.
- - - Добавлено - - -
Нет, в безопасном режиме такая же картина с блокировкой.
-
Пофиксите в HijackThis:
Код:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=wbst&s={searchTerms}&f=4
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://lasdata.com/UseJodego/ruyeah.pac
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
Сделайте полный образ автозапуска uVS + Сделайте логи RSIT
-
-
cragx, только не забудьте на шаге №4 запустить с выбором проблемной учётной записи.
-
-
Junior Member
- Вес репутации
- 41
А нормально что образ уже 3 с лишним часа сохраняется и выполнен только на 29%?
-
Сообщение от
cragx
А нормально что образ уже 3 с лишним часа сохраняется и выполнен только на 29%?
Не сталкивался с такими случаями, обычно не более 30 минут затрачивается на создание образа. Антивирус отключен ?
-
-
Junior Member
- Вес репутации
- 41
Антивирусы отключены.
Уже 33%...может имеет смысл перезагрузиться и заново запустить...или уже подождать до позднего вечера когда сохранится до конца?
-
Лучше до конца подождать, но если что то не так пойдет, сделайте первыми логи RSIT и опубликуйте их в теме.
-
-
Junior Member
- Вес репутации
- 41
RSIT уже сделал.
Вложение 414297
Вложение 414298
- - - Добавлено - - -
Только 60 % ....
-
В безопасном режиме с поддержкой командной строки тоже блокировка?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 41
Не дает прикрепить образ, недостаточно места. Как удалить ранее загруженные файлы из менеджера вложений?
-
загрузите сюда http://rghost.ru/ и дайте ссылку на скачивание.
-
-
Junior Member
- Вес репутации
- 41
В общем ситуция адовая...После моего последнего сообщения здесь, у меня почти сразу перестал открываться этот сайт, а заодно все сайты в имени которых пристуствует название антивируса или слово virus. Вместо этого открывается яндекс...с рекламой под поисковой строкой + баннер слева почти на всех открываемых страницах....Только сейчас удалось через анонимайзер зати на сайт. Делаю новые логи. Пока прикреплю образ.
http://rghost.ru/45324133
-
Junior Member
- Вес репутации
- 41
В общем ситуция адовая...После моего последнего сообщения здесь, у меня почти сразу перестал открываться этот сайт, а заодно все сайты в имени которых пристуствует название антивируса или слово virus. Вместо этого открывается яндекс...с рекламой под поисковой строкой + баннер слева почти на всех открываемых страницах....Только сейчас удалось через анонимайзер зати на сайт.
Прикрепляю образ.
http://rghost.ru/45324133
Новые логи из учетки в которой сайты не открываются и баннеры выскакивают:
http://rghost.ru/45325033
http://rghost.ru/45325043
http://rghost.ru/45325050
-
Junior Member
- Вес репутации
- 41
В общем у меня вообще АХТУНГ...Поле последнего сообщения здесь, у меня перестал открываться форум, а вместе с ним перестали открыватьсявсе ресурсы посвещенные антивирусам и методам борьбы с вредоносными програмами...Вместо них открывается яндекс с красивым банером по центру) + банер слева в Опере всплывает на всю высоту окна на всех сайтах.Только вчера с помощью анонимайзера удалось сюда зайти, но мои сообщения с ссылками на логи и образ, залитые на rghost не публикуются уже сутки, ожидая проверки модератора...
-
Выполните скрипт в uVS и пришлите карантин
Код:
;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
; C:\USERS\АНДРЕЙ\8797356.EXE
addsgn A7679B19B192CD9E33D6AEB1379E787D7DE0FD902A2A1C3985A9C33114F25D1CAE53E7136E3D9D4D6A8043DB622E4DFB7DDF17674968F02C4BFCE00B816E4A77 8 Trojan-Ransom.Win32.Gimemo.bamy
zoo %SystemDrive%\USERS\АНДРЕЙ\8797356.EXE
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\POCLBM\T2.VBS
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\POCLBM\T2.VBS
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\FLASH\UPDATE.VBS
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\FLASH\UPDATE.VBS
bl 253CF4867700956FCFF2BA463C64212A 123904
delref HTTP://STARTRU.NET/?UTM_MEDIUM=CH&UTM_SOURCE=AFO3&UTM_CAMPAIGN=BP&UTM_CONTENT=11-11
delref HTTP://DOSSEARCH.RU
delref F:\RUNPACK.EXE
zoo %SystemDrive%\PROGRA~3\MOZILLA\XUROGBK.EXE
delall %SystemDrive%\PROGRA~3\MOZILLA\XUROGBK.EXE
chklst
delvir
restart
после перезагрузки
Внимание !!! База поcледний раз обновлялась 31.03.2013
необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.39.
Пожалуйста обновите базы AVZ и сделайте новые логи по правилам раздела.
-
-
Junior Member
- Вес репутации
- 41
Ошибка при запуске скрипта:" `Begin` expected в позиции 1:1 "
-
а зачем вы в AVZ запускаете скрипт ? по ссылке переходили ? читали http://virusinfo.info/showthread.php?t=121769 ?
-