-
Junior Member
- Вес репутации
- 49
Winlock.Trojan.2850 требует денег на 3116
Здравствуйте!
Словил вирус, требует 400 рублей на 9651622636.
Что имеем:
1. Вирус полностью закрывает экран, диспетчер задач отключен, никакие окна поверх винлока не открываются (пробовал вызвать экранную лупу).
2. Запускается в безопасном режиме и в безопасном режиме с командной строкой - в этом режиме удалось вызвать экранную лупу и добраться до проводника.
3. Удалось запустить CureIT, после 3-часового скана нашел и якобы вылечил Winlock.Trojan.2850 - проблемы это не решило.
4. AVZ запускается, но как-то криво - нормальных надписей нет, все символы заменены цифрами и вопросительными знаками. Поэтому провести при помощи этой утилиты сбор информации, чтобы сюда выложить, не удалось.
5. Коды с сайтов касперского, nod32, dr.Web не походят.
Что можно предпринять для борьбы? Прошу помочь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Зайдите в безопасном режиме с поддержкой коммнадной строки и поправьте реестр.
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
должен быть %windir%\system32\userinit.exe, либо полный путь смотря где у вас находится система.
и параметр
должен быть равен explorer.exe
Исправьте и сделайте логи по правилам.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
не могу открыть реестр из командной строки - пишет, что "редактирование реестра запрещено администратором"
-
Тогда через erd.
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре те параметры что я вам указал.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
миднайт, все сделал, как вы сказали - параметр shell был вражеский, как-то ekrnl.exe что ли (точно не помню, но набор символов похожий), а userinit "родной" - \system32\userinit.exe
Диспетчер задач и реестр по-прежнему закрыты, рабочий стол девственно пуст, других последствий пока не заметил, файлы прилагаю.
-
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\arkrnl.exe','');
DeleteFile('C:\WINDOWS\arkrnl.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=97031).
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
В соответствии с указаниями все выполнил (диспетчер задач, реестр, рабочий стол - все вернулось). Карантин отправил в соответствии с правилами (дошел ли?). Здесь прилагаю новый лог virusinfo_syscheck.
-
Все карантины были пустые.
Плохого не видно. Что с проблемой?
В AVZ - Файл - Мастер поиска и устранения проблем - Системные проблемы - Все проблемы - Пуск
Отметить следующие пункты и нажать кнопку "Исправить":
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск со сменных носителей
>> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы
Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
миднайт, все сделал. В avz "все проблемы" исправил, обновления в соответствии с avz_log.txt установил. Вирус себя никак не проявляет - все работает.
Карантины пусты - значит, все ок или что-то у меня не получилось? Могу ли я считать, что проблема решена?
-
Сообщение от
Winlocks-Victim
Могу ли я считать, что проблема решена?
Да.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-