Windows blocker

**Mithfin** · 20.03.2011, 16:47

С утра на домашней машине появился blocker, требующий 400 рублей на Билайн, и блокирующий все напрочь даже в safe mode. Загрузилась из-под второй системы, ubuntu, и попробовала его найти с помощью CureIt - ничего. Avz под wine вис, решила посмотреть реестр c помощью chntpw, выяснилось, что Userinit указывает на какой-то левый файл, созданный сегодня. Поменяла значение, но при перезагрузке восстанавливалось старое (возможно, из-за того, что восстановление системы не было отключено?) - так что просто убрала этот файл на убунтовский раздел (про запас), и положила на его место переименованый userinit. Теперь windows грузится и работает нормально, avz ничего не находит. Что интересно, онлайн-проверка на сайте Касперского (из ubuntu) утверждала, что тот файл вирусов не содержит.

Установила себе Avira, на будущее. Осталось два вопроса, во-первых, что еще предпринять, чтобы эта гадость больше не появлялась у меня на машине, а во-вторых, что теперь делать с запасенным файликом с живым блокером, может, сдать кому-нибудь на опыты?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Acidorum** · 20.03.2011, 17:09

Здравствуйте!
Пожалуйста, обновите базы AVZ (Файл->Обновление баз) и сделайте полный комплект логов.

Сообщение от Mithfin

сдать кому-нибудь на опыты?

Если есть желание, то пришлите файл согласно правилам.

**Mithfin** · 20.03.2011, 17:42

Логи после обновления.

**Acidorum** · 20.03.2011, 17:48

А этот лог где потеряли?

Код:

virusinfo_syscure.zip

Его тоже приложите. (Находится в папке AVZ, подпапке LOG)

**Mithfin** · 20.03.2011, 18:02

Прочитала инструкцию через слово, сорри

Лог от второго (первый случайно прервала) запуска скрипта лечения.

**Acidorum** · 20.03.2011, 18:15

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [System32 Info Solution] C:\Windows\System32\drivers\System32.exe

В остальном все чисто.
Кстати, блокер Вам попался свежий.

KIS 2011=Файл чистый; DrWEB 6.0=Файл чистый; VBA32=Файл чистый; BitDefender=Файл чистый; NOD32=Файл чистый; Avast4=Файл чистый

http://www.virustotal.com/file-scan/...dc9-1300632328

Сообщение от Mithfin

чтобы эта гадость больше не появлялась у меня на машине

Теперь поговорим об этом.
Установите:
-Service Pack 3 (может потребоваться активация, перед установкой необходимо выгрузить все программы) + обновления отсюда.
-Internet Explorer 8
Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz.log. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.
Также, можете почитать это.

**CyberHelper** · 21.03.2011, 18:15

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. \\virus\\system32.exe - Trojan-Ransom.Win32.PornoBlocker.pwx ( DrWEB: Trojan.Inject.28181, BitDefender: Backdoor.Generic.619115 )

Windows blocker (заявка № 99542)

Опции темы

Windows blocker

Итог лечения

Похожие темы

SMS-blocker

помогите уничтожить вирус Trojan.Blocker

перехватчики не определены, blocker.exe

Ваши права в разделе