-
Очень "вредный" WinLock.
Здравствуйте!
Мой знакомый на днях поймал себе на ноутбук некоего WinLock'а, который просит 500 рублей на номер 89117062506. Ни один из кодов активации, найденный мной на просторах инета не подошёл (kaspersky deblocker, dr.web deblock, nod32 и пара других, не помню уже каких, сайтов). Никакие волшебные комбинации вызвать тот же диспетчер не помогают. Но лазейку всё-же нашёл. Через установку нового принтера получается выйти в проводник, но здесь беда - баннер продолжает висеть, загораживая всё вокруг. Небольшое место по краям, для ориентирования остаётся. Файлы запускать можно. [B]Пытался запустить AVZ, чтобы сделать логи, он, видимо, запускается, но висит под баннером.[/B] В безопасном режиме баннер тоже себя проявляет. Не знаю, что делать. LiveCD нет, к сожалению. Может как-нибудь стандартными способами?
С уважением.
-
Вложений: 1
Запустил AVZ с режимами защиты (AM=Y AG=Y) через консоль. Сделал восстановление системы, полную проверку. Сам по себе появился десктоп. Запускаю AVZ повторно, при попытке собрать логи утилитой AVZ, она закрывается. Удалось сделать лог HiJackThis.
-
Здравствуйте.
Попробуйте так:
1. Скачайте [URL="http://z-oleg.com/avz.exe"]такой AVZ[/URL].
2. Переименуйте его и попытайтесь запустить.
3. Если не выйдет, создайте ярлык к AVZ (нажатие правой клавишей мыши по иконке AVZ->Создать ярлык (Create Shortcut)). Откройте свойства ярлыка, в поле "Объект" (Target) припишите к исходному значению строку:
AM=Y AG=Y
Попытайтесь запустить AVZ.
-
Вложений: 1
С большим трудом удалось сделать 1 лог + полную проверку с virusinfo_cure.zip, который я загрузил по кнопке "Прислать запрошенный карантин".
-
C:\WINDOWS.0\system32\userinit.exe замените с аналогичной системы.
Сделайте лог полного сканирования [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]
-
Завершаю процесс userinit.exe, кладу туда "чистый", через несколько минут снова появляется баннер.
Дальше: глянул список процессов, в них появился 22СС6С32.exe, при завершении которого баннер снова исчез. Но есть ещё одна беда, она осталась - после запуска любого приложения - оно закрывается. И так каждые ~3 минуты. Т.е. никак не могу сделать лог MBAM.
Update: Удалось запустить, делаю лог MBAM.
-
-
Вложений: 1
-
Всё, сам всё долечил. Спасибо всем, кто откликнулся!
-
Вот это в mbam нужно удалить:
[CODE]
Зараженные папки:
c:\WINDOWS.0\system32\0F6226 (Worm.AutoRun) -> No action taken.
c:\WINDOWS.0\system32\5A8DCC (Worm.AutoRun) -> No action taken.
c:\WINDOWS.0\system32\76682F (Worm.AutoRun) -> No action taken.
c:\WINDOWS.0\system32\ACF7EF (Worm.AutoRun) -> No action taken.
Зараженные файлы:
c:\Users\Admin\application data\netprotdrvss.exe (Backdoor.Bot) -> No action taken.
c:\Users\Admin\application data\netprotocol.exe (Backdoor.Bot) -> No action taken.
c:\Users\localservice\application data\microsoft\fuhozyhon.exe (Trojan.LVBP) -> No action taken.
c:\WINDOWS.0\system32\5A8DCC\cnvpe.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS.0\system32\5A8DCC\dp1.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS.0\system32\5A8DCC\eAPI.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS.0\system32\5A8DCC\HtmlView.fne (HackTool.Patcher) -> No action taken.
c:\WINDOWS.0\system32\5A8DCC\internet.fne (HackTool.Patcher) -> No action taken.
c:\WINDOWS.0\system32\5A8DCC\krnln.fnr (Trojan.Agent) -> No action taken.
c:\WINDOWS.0\system32\5A8DCC\RegEx.fnr (Worm.AutoRun) -> No action taken.
c:\documents and settings\Admin\application data\netprotocol.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\aegvvp.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS.0\system32\5A8DCC\spec.fne (Worm.AutoRun) -> No action taken.
[/CODE]
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00077 seconds with 10 queries