-
Junior Member
- Вес репутации
- 60
Помогите, порно банер.
Система заблокирована порно банером. Смс 15813521+2490+0 на номер 8353. Безопасный режим тоже заблокирован. Смотр Курейтом и Каспером с помощью другой машины ничего не дал. Логи собрать не могу. Коды от веба и каспера для разблокировки не помогают. Что делать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте полиморфным AVZ
-
-
Junior Member
- Вес репутации
- 60
На зараженной машине я не могу запустить ни одного исполняемого файла. Машина полностью заблокирована. Кроме строки куда любезно предлагают вставить полученный код разблокировкию. Есть ли способы как то извернуться? Dr.Web LiveCD не помог.
-
Попробуйте эти коды
Код:
4479927959 / 8694287294
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
-
Попробуйте сменить раcширение AVZ на .bat, .cmd, .pif
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Уважаемы хелпер. я не могу запустить ни один исполняемый файл, потому что все заблокировано. Порно банер на весь экран, Интерфейса винды как такового нет. Ничего не могу сделать, кроме как писать цифры в поле ввода кода.
-
Используя эту инструкцию http://virusinfo.info/showthread.php?t=51777 (лучше с помощью ERD Commander) проверьте содержимое параметра userinit и удалите в нем все лишнее
Кроме того, в папке system32 найдите и скопируйте в другое место файл usrinit.exe (не спутать с userinit.exe)
Пробуйте загрузиться
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Сейчас проделаем!
Добавлено через 38 минут
Параметр Userinit C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\usrinit.exe
Файл скопировал. Строку отредактировал, ветку выгрузил. Винда загрузилась. Банер исчез. На рабочем столе кнопка востановить активдесктоп. Окно rundll с предупреждением о невозможности запустить pqrs.tmo
Скоро будут логи.
Последний раз редактировалось fidan; 23.04.2010 в 17:51.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 60
-
Сообщение от
thyrex
найдите и скопируйте в другое место файл usrinit.exe
Запакуйте этот файл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - D:\PROGRA~1\DAP\SBSearch.dll (file missing)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe pqrs.tmo xfwfrsh
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\usеrinit.exe','');
DeleteFile('C:\WINDOWS\system32\usеrinit.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteService('userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите все следы антивируса Panda
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Логи. Я не понял. разве на машине Панда была установлена. Если да, то где удалить следы?
-
Сообщение от
fidan
Я не понял. разве на машине Панда была установлена.
У Вас еще и работающая служба есть
По этой ссылке ищите нужную утилиту http://forum.kaspersky.com/index.php...post&p=1054993
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('userinit');
DeleteFile('globalroot\systemroot\system32\usеrinit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
-
Плохого не видно
На всякий случай проверьтесь http://support.kaspersky.ru/viruses/...?qid=208636926
Если утилита ничего не найдет, лечение окончено
Останется обновить систему
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Утилита ничего не нашла. Санкс огромнейший!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\usеrinit.exe - Trojan-Ransom.Win32.Digitala.bf ( DrWEB: Trojan.Fakealert.10220, BitDefender: Trojan.Generic.2948021, AVAST4: Win32:Trojan-gen )
- \usrinit.exe - Trojan-Ransom.Win32.XBlocker.ut ( DrWEB: Trojan.Winlock.1447, BitDefender: Gen:Variant.Oficla.3 )
-