Блокер

Printable View

04.05.2011, 10:58
Trata

Блокер

Подскажите, пожалуйста, что можно с этим сделать - после загрузки компьютера вылезает черный экран с требованием заплатить денег на номер МТС (примерно как здесь [URL="http://virusinfo.info/showthread.php?t=101041"]http://virusinfo.info/showthread.php?t=101041[/URL] )
В безопасном режиме загрузиться не удается, Live CD Dr. Web и Касперский ничего не находят.

shell--> Explorer.exe
userinit --> С:\WINDOW\system32\userinit.exe,
AppInit_DLLs --> пустое поле

Очень надеюсь на вашу помощь :girl_sad:
04.05.2011, 12:38
Nikkollo

[QUOTE='Trata;787467']shell--> Explorer.exe
userinit --> С:\WINDOW\system32\userinit.exe,
AppInit_DLLs --> пустое поле[/QUOTE]
Эти параметры как именно посмотрели?
04.05.2011, 13:04
Trata

Через ERD-Commander 2005 с этого диска [url]http://rutracker.org/forum/viewtopic.php?t=3006035[/url].
04.05.2011, 13:28
Nikkollo

Посмотрите в папке WINDOWS\system32 объем файлов userinit.exe и taskmgr.exe
и в папке WINDOWS объем файла explorer.exe
и сообщите.

PS в первом сообщении ссылку неправильную указали.
04.05.2011, 13:42
Trata

[QUOTE=Nikkollo;787502]Посмотрите в папке WINDOWS\system32 объем файлов userinit.exe и taskmgr.exe
и в папке WINDOWS объем файла explorer.exe
и сообщите.[/QUOTE]
Спасибо, попробую посмотреть.
[QUOTE=Nikkollo;787502] PS в первом сообщении ссылку неправильную указали.[/QUOTE]
Ссылку исправила :>
05.05.2011, 08:13
Trata

userinit.exe -> 25088 байт
taskmgr.exe ->139264 байт
explorer.exe ->1033728 байт
05.05.2011, 13:26
Nikkollo

"Безопасный режим с поддержкой командной строки" загружается?
05.05.2011, 13:30
Trata

Нет, грузится только в обычном режиме.
05.05.2011, 15:38
Nikkollo

[QUOTE='Nikkollo;787502']Посмотрите в папке WINDOWS\system32 объем файлов userinit.exe и taskmgr.exe
и в папке WINDOWS объем файла explorer.exe[/QUOTE]
Посмотрите в ERD дату их создания/последнего изменения и сообщите.

Так же в ERD запустите Autoruns (в меню Start поищите).
Посмотрите сами, может найдете что-то необычное.
Если нет, сделайте скриншоты Autoruns, чтобы все видно было и приложите их.
06.05.2011, 09:55
Trata

userinit.exe и taskmgr.exe дата создания и изменения - 2004
explorer.exe создан в 2004 изменен в 2007

В Autoruns выделила синим то, что показалось странным:
Достаточно просто удалить этот файл из папки temp?
[URL="http://radikal.ru/F/s45.radikal.ru/i109/1105/3b/b0c1150b0216.jpg.html"][IMG]http://s45.radikal.ru/i109/1105/3b/b0c1150b0216t.jpg[/IMG][/URL]
06.05.2011, 17:57
Nikkollo

Да, в Autoruns удалите его (при этом удалится его регистрация в реестре).
Попробуйте загрузить компьютер.
Если загрузился, файл заархивируйте с паролем virus и загрузите по красной ссылке вверху темы "Прислать запрошенный карантин".
Затем файл удалите.
07.05.2011, 23:57
Trata

Спасибо, вы меня спасли! Все заработало!
08.05.2011, 01:58
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
09.05.2011, 19:05
Trata

[QUOTE=thyrex;788417]Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL][/QUOTE]
Вот
09.05.2011, 19:57
polword

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.

Заражённые файлы:
c:\documents and settings\администратор\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\documents and settings\администратор\local settings\temp\0.44077010227254065.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\администратор\local settings\temp\0.3911618619120838.exe (Trojan.Dropper) -> No action taken.

[/CODE]
- Сделайте повторный лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
16.05.2011, 19:20
Trata

Вложений: 1

Посмотрите, пожалуйста, все ли теперь в порядке?
16.05.2011, 20:01
polword

подозрительного нет
17.05.2011, 20:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\0.5597615283246951.exe - [B]Trojan-Ransom.Win32.Gimemo.alw[/B] ( DrWEB: Trojan.Winlock.3090, BitDefender: Trojan.Generic.KDV.202755, AVAST4: Win32:Malware-gen )[/LIST][/LIST]