-
Junior Member
- Вес репутации
- 54
СМС-вымогатель(порнобаннер)
Поймали порнобаннер.Аналогов не обнаружил.Коды никакие не подходят.
В ЛЮБОЙ безопасный режим заходит с тем же баннером, но перед его появлением в левой части экрана на долю секунды появляется какое-то прямоугольно-вытянутое вертикальное окно.Не успеваю с ним ничего сделать.Билайновский номер меняется от запуска к запуску.
Смена даты не сработала.
Помогите убрать, пожалуйста.
Фото зловреда прилагаю. Простите за качество, но смысл уловить можно.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Могу предложить два варианта:
1)Попробуйте загрузиться в безопасном режиме с командной строкой. Наберите команду explorer.exe и в проводнике запускаете AVZ, делаете логи.
2) 1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 54
-
Поищите в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon . Там все должно быть.
Командная строка.
-
-
Junior Member
- Вес репутации
- 54
В Shell стоит значение Explorer.exe.
В userinit- D:\WINDOWS\system32\userinit.exe, D:\WINDOWS\system32\usrinit.exe
То есть, два последних параметра отличаются буквой.
-
Исправьте на D:\WINDOWS\system32\userinit.exe, (с запятой на конце) и загрузитесь в нормальном режиме.
Сделайте логи.
-
-
Junior Member
- Вес репутации
- 54
Система запустилась Спасибо
Логи прикрепляю.
-
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\System32\SaveDump.exe','');
QuarantineFile('D:\WINDOWS\System32\Drivers\amohbn9x.SYS','');
QuarantineFile('D:\DOCUME~1\86C2~1\LOCALS~1\Temp\aCCy6NB7.sys','');
QuarantineFile('D:\WINDOWS\system32\usrinit.exe','');
DeleteFile('D:\WINDOWS\system32\usrinit.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Логи повторить.
-
-
Junior Member
- Вес репутации
- 54
Карантин загрузил.Логи прикрепляю.
-
Плохого не увидел.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 54
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- d:\\windows\\system32\\usrinit.exe - Trojan-Ransom.Win32.RedLine.cc ( DrWEB: Trojan.Inject.20131, BitDefender: Trojan.Generic.5638858, NOD32: Win32/LockScreen.QX trojan, AVAST4: Win32:VB-QTD [Drp] )
-