-
Junior Member
- Вес репутации
- 58
Черный экран, обвинение в размещении порноматериалов,Билайн
Здравствуйте, доктор!
Прошу помощи. После очередного сеанса веб-серфинга при включении компьютера после экрана приветствия появляется на черном фоне надпись о блокировке компьютера из-за размещения порно-педо- и зоофилии. Естественно, просят закинуть 400 р на билайновский счет и "будет щщастье".
Машина в безопасном режиме не грузится. Пришлось перекинуть диск на другую машину, с нее и лечусь.
Заранее благодарен за Ваш труд и помощь.
С уважением, Константин
Анализы:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\plugin.exe','');
QuarantineFile('.vbe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.vbs','');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.vbs');
DeleteFile('.vbe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','USER-0CE25D2109');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
-
-
-
Junior Member
- Вес репутации
- 58
проблема осталась. Высылаю новые логи.
К сожалению, буду отсутствовать два-три дня, но очень надеюсь на вашу помощь.
Последний раз редактировалось Wilbour Wonka; 03.09.2010 в 04:41.
-
Скорее мы лечим здоровую машину, к которой вы подключились винчестер.
Верните его на место и проделайте следующее
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Простите, но можно поподробнее...
Скачал ERD с торрента на здоровой машине, распаковал архив rar, высыпавшиеся файлы закатал на болванку (правильно?), попытался загрузиться на больной машине с диска (проставив в БИОСе в First boot "CD-ROM") - не получается, пишет FAILURE и просит INSERT SYSTEM DISK/
Пишу с больной машины, кстати. Как-то удалось через Win+U выйти в Интернет, раньше не получалось, кнопка СПРАВКА в окне была неактивна. Может, это все меняет, и можно полечиться по-другому?
Добавлено через 46 минут
Вот, запустил свой Regedit.exe:
Параметр "userinit" - C:\WINDOWS\system32\userinit.exe
Параметр "shell" - C:\Documents and settings\Daisy Cutter.Daisy -BBDB2AFCB\Рабочий стол\vip_porno_57556.avi.exe
Последний раз редактировалось Wilbour Wonka; 06.09.2010 в 14:07.
Причина: Добавлено
-
Сообщение от
Wilbour Wonka
Параметр "shell" - C:\Documents and settings\Daisy Cutter.Daisy -BBDB2AFCB\Рабочий стол\vip_porno_57556.avi.exe
Здесь нужно исправить на Explorer.exe, и пробуем зайти в нормальнои режиме.
-
-
Junior Member
- Вес репутации
- 58
Не вышло, то же самое
Добавлено через 25 минут
Все получилось, вошел нормально. Постараюсь завтра выслать логи.
Огромное спасибо.
С "ERD Commander" попробую сам разобраться.
Последний раз редактировалось Wilbour Wonka; 06.09.2010 в 14:50.
Причина: Добавлено
-
Подготовьте логи по правилам.
-
-
Junior Member
- Вес репутации
- 58
Не загружается в безопасном режиме.
В остальном все сделал согласно правилам.
Логи:
-
Выполните скрипт в AVZ -
Код:
begin
ExecuteRepair(10);
ExecuteRepair(11);
RebootWindows(true);
end.
- Компьютер перезагрузится
- Как сейчас?
-
-
Junior Member
- Вес репутации
- 58
В безопасном режиме загрузился. Странно, что появлялось перед экраном приветствия какое-то окошко, с двумя квадратиками (заменители символов, похоже) в названии окна, тремя такими же символами в тексте окна и кнопкой ОК, которую и нажал.
Пока все в порядке. Проверить еще раз?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-