Показано с 1 по 12 из 12.

СМС-вымогатель(порнобаннер) (заявка № 95618)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    54

    Exclamation СМС-вымогатель(порнобаннер)

    Поймали порнобаннер.Аналогов не обнаружил.Коды никакие не подходят.
    В ЛЮБОЙ безопасный режим заходит с тем же баннером, но перед его появлением в левой части экрана на долю секунды появляется какое-то прямоугольно-вытянутое вертикальное окно.Не успеваю с ним ничего сделать.Билайновский номер меняется от запуска к запуску.
    Смена даты не сработала.
    Помогите убрать, пожалуйста.
    Фото зловреда прилагаю. Простите за качество, но смысл уловить можно.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ARMA9000
    Регистрация
    16.09.2009
    Сообщений
    1,987
    Вес репутации
    116
    Могу предложить два варианта:
    1)Попробуйте загрузиться в безопасном режиме с командной строкой. Наберите команду explorer.exe и в проводнике запускаете AVZ, делаете логи.

    2) 1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
    2.Загрузитесь с этого диска.
    3.Кнопка Пуск - Выполнить - erdregedit
    4.Посмотрите в реестре:
    ветка
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    userinit
    параметр
    shell
    Содержимое этих параметров напишите в своем сообщении

  4. #3
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    54
    Спасибо за оперативный ответ!

    Подскажите, как правильно загрузиться в безопасном режиме с командной строкой?Я неоднократно пробовал на разных компах, и выглядит такой режим точно так, как и обычный безопасный
    Баннер у меня присутствует и там, как я и указал в первом посте.
    Зашел с Live-CD ,но указанных параметров в Winlogon вообще нет

    Добавлено через 16 минут

    Прошу прощения.
    Я действовал по инструкции сайта 'Касперского', и там указано искать в HKEY_CURRENT_USER ,а у Вас в HKEY_LOCAL_MACHINE .Может там ошибка?
    Попробую копать в HKEY_LOCAL_MACHINE.
    Последний раз редактировалось Mateo; 18.01.2011 в 20:09. Причина: Добавлено

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    54
    В Shell стоит значение Explorer.exe.
    В userinit- D:\WINDOWS\system32\userinit.exe, D:\WINDOWS\system32\usrinit.exe
    То есть, два последних параметра отличаются буквой.

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    54
    Система запустилась Спасибо
    Логи прикрепляю.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ARMA9000
    Регистрация
    16.09.2009
    Сообщений
    1,987
    Вес репутации
    116
    Отключить восстановление системы, защитное ПО.
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\System32\SaveDump.exe','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\amohbn9x.SYS','');
     QuarantineFile('D:\DOCUME~1\86C2~1\LOCALS~1\Temp\aCCy6NB7.sys','');
     QuarantineFile('D:\WINDOWS\system32\usrinit.exe','');
     DeleteFile('D:\WINDOWS\system32\usrinit.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

    Логи повторить.

  10. #9
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    54
    Карантин загрузил.Логи прикрепляю.

  11. #10

  12. #11
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    54
    Простите за задержку с ответом.
    Был отрезан от внешнего мира
    Окно ушло, и подозрительных симптомов не наблюдается.
    Большое спасибо!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\windows\\system32\\usrinit.exe - Trojan-Ransom.Win32.RedLine.cc ( DrWEB: Trojan.Inject.20131, BitDefender: Trojan.Generic.5638858, NOD32: Win32/LockScreen.QX trojan, AVAST4: Win32:VB-QTD [Drp] )


  • Уважаемый(ая) Mateo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Порнобаннер
      От KvaDraT в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.03.2011, 22:18
    2. порнобаннер - вымогатель
      От dimas-gor в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 19.07.2010, 16:19
    3. Ответов: 8
      Последнее сообщение: 18.06.2010, 12:16
    4. Ответов: 10
      Последнее сообщение: 21.01.2010, 22:21
    5. Порнобаннер и смс-вымогатель
      От KEDOLFE в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.08.2009, 17:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01118 seconds with 19 queries