-
Junior Member
- Вес репутации
- 65
pornohub.com
Вымогательский баннер, требующий отправить смс и рекламирующий сайт pornohub.com не позволяет работать с окнами. Мышью удается только установить курсор в поле для ввода разблокировочного кода на этом баннере, а из клавишь работает нормально только со значком "Windows". Вобщем запустить нужные программы пока не удалось.
В безопасном режиме тоже этот баннер закрывает собой вообще весь рабочий стол и ничего не видно.
На машине стоит Windows XP с антивирусом Avira.
При выключении компьютера этот баннер пропадает в первую очередь.
Могу прислать фото этого баннера.
Что можно предпринять, чтобы запустить программы, требуемые правилами?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этого параметра напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
thyrex
запишите на болванку и загрузитесь с созданного диска
Скачал, записал на болванку, но вот проблема - у меня DVD-Rom последнее время стал глючить: CD напрочь отказывался читать, а DVD по настроению. Вобщем, с привода не получилось загрузиться.
Вопрос - возможно ли это сделать с USB-флешки или внешнего HDD (файловая система FAT32)?
В биосе можно выбрать для первичной загрузки USB-HDD или USB-CD ROM. Я пробовал указать USB-HDD и присоединял одновременно флешку с образом и внешний HDD. Индикатор активности на HDD моргает, но ничего не запускается Файл образа положил в корень (на диске у меня еще много всяких данных хранится), но файл .iso только один.
Попробую завтра еще взять на прокат внешний USB-CD Rom, может с него болванка запустится?
-
Junior Member
- Вес репутации
- 65
Сообщение от
thyrex
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
Удалось-таки запустить записанную болванку, но...
Система с нее не запустилась. Сначала грузится какой-то текст на черном экране (есть несколько фото, если потребуется), потом все останавливается на этом:
Последняя строка в тексте выглядит:
[DR-DOS] A:\>
и в конце нее мигает курсор, т.е. можно вводить команды, но я не знаю, какие именно и что это даст (в дос-е никогда не работал).
Вместо ERD Commander попробовал еще LiveCD с сайта Доктор Веб, тот же черный экран с командной строкой
Подскажите, пожалуйста, что можно еще сделать?
Завтра мне обещали дать переходник, с которого можно будет подцепить жесткий диск с зараженного компьютера через USB к моему ноутбуку - что в этом случае можно будет сделать?
Заранее благодарю за ответы.
На всякий случай уточню: XP у меня стоит SP2
Добавлено через 23 минуты
Дополнение:
Мой случай, как в этой теме: http://virusinfo.info/showthread.php?t=80266 - тот же короткий номер 3381 (красный баннер с тремя картинками),
но коды разблокировки, которые по телефону дает мне поставщик смс-услуг почему-то не срабатывают. Правда, прежде чем позвонить поставщику услуг, я пытался вводить коды, размещенные на сайте "Касперского". Когда я ввожу код разблокировки и жму кнопку "отключить", то никаких видимых изменений не происходит. Хотя однажды, когда я выложенные на "Касперском" коды вводил, картинка баннера задрожала так мелко и это продолжалось довольно долго, пока я компьютер не перезагрузил.
Не знаю поможет ли эта информация чем-нибудь, но уж очень хочется побороть эту заразу, а то компьютером уже несколько дней пользоваться не могу и информация на нем важная для меня есть - удалять ее нельзя.
Последний раз редактировалось Алек; 06.06.2010 в 04:45.
Причина: Добавлено
-
Странный образ ERD Commander. Процесс загрузки должен быть похож на загрузку обычной системы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
thyrex
Странный образ ERD Commander. Процесс загрузки должен быть похож на загрузку обычной системы
Честно признатся, образ приходится делать впервые. Скачал файл .iso, распаковал его, в Nero Burning ROM выбрал DVD > DVD-ROM (Boot), бросил в корень распакованные файлы, записал болванку.
Знаю, что должно загрузиться как обычная система, но у меня указанный выше результат получился и с ERD Commander и с LiveCD от Доктора Веба .
Мне еще подсказали вариант загрузки с флешки через Windows XP Portable. У меня получилось!
Через него можно действовать?
Команда regedit в нем не работает, но все содержимое дисков доступно.
-
В Нероне надо было выбрать "Записать образ". Без распаковки.
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
thyrex
1. Скачайте образ
ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить -
erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этого параметра напишите в своем сообщении
Получилось! Спасибо pig!
Напротив AppInit_DLLs в колонке Type написано REG_SZ, в колонке Data пусто.
-
Тогда проверьте содержимое параметра userinit по такой инструкции http://virusinfo.info/showthread.php?t=51777
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
thyrex
в папке C:\windows\system32 вижу только userinit без расширения .exe
открываю в ERD Commander указанный в инструкции раздел, вижу там два файла с именем software без расширения
первый при откытии выглядит так:
второй при открытии говорит, что процесс не может получить доступа, т.к. файл занят другим процессом
далее в инструкции сказано: "4. Введите имя для раздела, который вы загрузили, например, MyHive." - честно говоря, я не понял, где вводить имя раздела?
по пятому пункту инструкции параметр Userinit такой C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\userinit.exe (дважды через запятую)
-
Сообщение от
Алек
по пятому пункту инструкции параметр Userinit такой C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\userinit.exe (дважды через запятую)
Оставьте такой C:\WINDOWS\system32\userinit.exe,
Все буквы должны быть английскими
Перезагрузитесь в нормальном режиме. Баннер пропал?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Ну наконец-то!!!
Наконец-то я могу нормально работать с компьютером. Баннер пропал. При загрузке в нормальном режиме Avira сразу же отловил трояна:
В файле 'C:\Documents and Settings\Alex\Главное меню\Программы\Автозагрузка\siszpe32.exe'
был обнаружен вирус или вредоносная программа 'TR/Dldr.Bredolab.AA.123' [trojan].
Выполняемое действие: Удалить файл
Далее перегрузился в безопасный режим и CureIt прибил трояна Trojan.Packed.20343 с именем файла usrinit.exe по адресу C:\WINDOWS\system32 и ~TM16.tmp, ~TM42.tmp по адресу C:\WINDOWS\temp
Скачал заново AVZ, но при попытке обновить базы получаю такое сообщение: Обновил базы вручную.
Сейчас буду делать логи. Оказывается, у меня было отключено восстановление системы! Несколько месяцев назад запускал AVZ, отключил, а включить потом забыл.
Присоединяю полученные логи
Последний раз редактировалось Алек; 08.06.2010 в 05:32.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Вот отчет Malwarebytes Antimalware:
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные папки:
C:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\Documents and Settings\Alex\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Alex\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Прилагаю лог после удаления указанных файлов:
-
Порядок
Установите SP3 (может потребоваться активация) + все новые патчи
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
thyrex
Порядок
Установите
SP3 (может потребоваться активация) + все новые патчи
Обновите
JavaRE
Спасибо!
JavaRE обновил, а SP3 пожалуй воздержусь, т.к. слышал, что иногда после его установки возникают проблемы. У меня система уже около пяти лет стоит - ниразу не переустанавливал за это время и не восстанавливал и опасаюсь, что установка SP3 может нарушить стабильность системы на моем компе.
А вообще насколько критично обновление с SP2 на SP3?
Еще раз спасибо за помощь!
P.S. Восстановление системы можно включить?
-
Сообщение от
Алек
А вообще насколько критично обновление с SP2 на SP3?
Чем больше дыр в системе, тем легче в нее проникнуть. Решать Вам.
Восстановление можете включить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-