-
Junior Member
- Вес репутации
- 49
Поймал вирус-блокировщик
Здравствуйте! Словил вирус-блокировщик системы следующего вида: баннер на весь экран со следующим текстом от якобы "Министерства внутренних дел по информационной безопасности":
"! Выявлена незаконная деятельность.
Ваша операционная система заблокирована в связи с нарушениями использования сети интернет..."
Просят отправить SMS с текстом: <номер телефона> 500; или пополнить счет абонента БиЛайн. Номера телефонов меняются вроде после попыток загрузиться в безопасном режиме: 79091566640; 79091562303; 79091566646. На сайтах-разблоктровщиках Касперского и DrWeb ничего похожего найти не смог. Загрузился с DrWeb LiveCD, проверил-нашлась вирусы, удалил, но баннер остался. Загрузился с другого LiveCD, сделал логи. Подскажите, пожалуйста, как победить нехороший баннер...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 49
Вот такие значения:
Userinit
C:\Windows\system32\userinit.exe.
Shell
Explorer.exe
-
Junior Member
- Вес репутации
- 49
После нескольких попыток запуска в безопасном режиме (неудачных) комп нормально загрузился и баннер пропал. Переделал логи, посмотрите все ли нормально, для собственной безопасности и окружающих...
-
Q:\autorun.inf - файл знаком?
-
-
Junior Member
- Вес репутации
- 49
Скорее всего да...это раздел восстановления ноута-вряд ли это вредоносный файл. Кроме этого все ок? Тогда огромное спасибо за помощь!
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('Q:\autorun.inf','');
QuarantineFile('ACGina.dll','');
QuarantineFile('C:\Users\Andrey\AppData\Local\Temp\0.49192111908356684.exe','');
QuarantineFile('C:\Windows\system32\drivers\pmxdrv.sys','');
DeleteFile('C:\Users\Andrey\AppData\Local\Temp\0.49192111908356684.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
Последний раз редактировалось Acidorum; 05.03.2011 в 16:02.
-
-
Junior Member
- Вес репутации
- 49
Не получается выполнить скрипт Практически сразу после начала выполнения появляется окно "Программа "Антивирусная утилита AVZ" не работает" В чем может быть проблема?
-
Поправил скрипт. Попробуйте выполнить сейчас.
-
-
Junior Member
- Вес репутации
- 49
Карантин прислал, логи переделал:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Удалите в МВАМ найденные записи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Все сделал...Теперь все чисто? Спасибо огромное за помощь!
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Отлично! Всех еще раз благодарю за спасение!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-