Показано с 1 по 10 из 10.

Винлокер заблокировал доступ к компьютеру (заявка № 98021)

  1. #1
    Junior Member Репутация
    Регистрация
    12.02.2011
    Сообщений
    5
    Вес репутации
    48

    Thumbs up Винлокер заблокировал доступ к компьютеру

    Помогите, пожалуйста.
    ситуация следующая. Система Vista 32,
    Окошко винлокура блокирует вход в систему. Винлокер "Нового поколения" вида "положите деньги на номер через терминал". Соответственно все действия, кроме нажатия на кнопки с цифрами для ввода кода, блокируются.

    Если войти через Безопасный режим, то окошко все равно появляется.
    Зашел через live CD windows XP, во вложении файлы с отчетами, HijackThis не запускается, интернет не запускается. 2-й отчет сделан без интернета.
    Последний раз редактировалось dreycorp; 12.02.2011 в 15:13. Причина: добавил live CD windows XP

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Здравствуйте.
    Давайте попробуем так:
    1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
    Должен появиться проводник.
    2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
    Код:
    <диск с заблокированой ОС>:\WINDOWS\System32\config
    Затем сообщите :
    В ключе
    Код:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    значение параметра
    Код:
    Userinit
    и значение параметра
    Код:
    Shell

  4. #3
    Junior Member Репутация
    Регистрация
    12.02.2011
    Сообщений
    5
    Вес репутации
    48
    Все сделал, зашел через безопасный режим с поддержкой командной строки. запустил Explorer, запустил regedit.

    userinut = C:\Windows\System32\userinit.exe,C:\Windows\System 32\usrinit.exe

    Shell = C:\Users\Наташа\Appdata\Local\Opera\Opera\temporar y_downloads\xxx_video.exe

    в userinut пока написал "Shell", запустилась система, окошка нет, но остановилась на том-же месте, что и раньше

    UPD: Теперь могу запустить диспетчер задач
    Что дальше?
    Последний раз редактировалось dreycorp; 12.02.2011 в 17:32. Причина: UPD

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Правильные значения:
    userinit = C:\Windows\System32\userinit.exe,
    Shell = Explorer.exe

    а вот этот файл и есть ваш блокировщик:
    C:\Users\Наташа\Appdata\Local\Opera\Opera\temporar y_downloads\xxx_video.exe.

    Сделайте теперь логи по правилам.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    12.02.2011
    Сообщений
    5
    Вес репутации
    48
    Вот новые логи, не через БР

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=C:\Users\Наташа\AppData\Local\Opera\Opera\temporary_downloads\xxx_video.exe
    F2 - REG:system.ini: UserInit=Shell
    O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
    O2 - BHO: MS Media Module - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %APPDATA%\msmedia.dll (file missing)
    O4 - Startup: CCC.lnk = ?
    O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\Windows\System32\8F00B2\1D8CD9.EXE
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\Наташа\AppData\Roaming\msmedia.dll','');
     QuarantineFile('C:\Windows\System32\8F00B2\1D8CD9.EXE','');
     QuarantineFile('C:\Users\Наташа\AppData\Local\Opera\Opera\temporary_downloads\xxx_video.exe','');
     DeleteFile('C:\Users\Наташа\AppData\Local\Opera\Opera\temporary_downloads\xxx_video.exe');
     DeleteFile('C:\Windows\System32\8F00B2\1D8CD9.EXE');
     DeleteFile('C:\Users\Наташа\AppData\Roaming\msmedia.dll');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=98021).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    12.02.2011
    Сообщений
    5
    Вес репутации
    48
    Файл отправил
    Файл сохранён как: 110212_180731_virus_4d56a2332a9c9.zip

    Новые логи:

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Ничего необыного

    Установите SP2 + все новые обновления для Windows
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    12.02.2011
    Сообщений
    5
    Вес репутации
    48
    Спасибо огромное!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\наташа\\appdata\\local\\opera\\opera\\t emporary_downloads\\xxx_video.exe - Trojan-Ransom.Win32.Gimemo.yd ( DrWEB: Trojan.Winlock.2741, BitDefender: Trojan.Generic.5858316, NOD32: Win32/LockScreen.YL trojan, AVAST4: Win32:MalOb-FT [Cryp] )


  • Уважаемый(ая) dreycorp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. доступ к компьютеру
      От Анкудинов К в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.10.2011, 01:40
    2. Неполный доступ к компьютеру в сети
      От realnitro в разделе Microsoft Windows
      Ответов: 8
      Последнее сообщение: 25.04.2011, 10:27
    3. Ответов: 0
      Последнее сообщение: 23.01.2009, 14:13
    4. Как блокировать доступ к компьютеру?
      От Spectator в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 12.05.2008, 14:26
    5. Доступ к компьютеру
      От frajja в разделе Microsoft Windows
      Ответов: 1
      Последнее сообщение: 01.11.2007, 17:29

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00963 seconds with 17 queries