Printable View
вылез гадкий вирус, просит на счет билайна положить денег. Блокирует ОС учетной записи, на компе две записи вторая (admin) не заблокирована.
параметры shell и userinit в порядке.
[B][URL="http://virus-free.ru/udalenie-sms-virusa-s-pomoshhyu-antiwinlocker-livecd/"]AntiWinLocker LiveCD.[/URL] [/B]не помог, его установочный файл убил вирус.
Помогите, пожалуйста....
Уважаемый(ая) [B]Daria Solovyeva[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[b][color="Red"]I этап[/color][/b] (выполняется на [b]чистой от вирусов[/b] машине)
1. Скачайте на компьютере, [b]с которого сейчас пишете[/b], образ [url="http://support.kaspersky.ru/faq/?qid=208638415"]Kaspersky Rescue Disk[/url] (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости
[b][color="Red"]II этап[/color][/b] (выполняется на [b]заблокированной[/b] машине)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите [b]1[/b], чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите [b]Kaspersky Registry Editor[/b]
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), [b]если у Вас их несколько[/b]
– посмотрите в реестре:
[b]ветка[/B] [color="Red"]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/color]
[b]параметр[/b] [color="Blue"]userinit[/color]
[b]параметр[/b] [color="Blue"]shell[/color]
Значения этих параметров напишите в своем сообщении
Также с помощью этого диска сделайте экспорт веток реестра [B]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run[/B] и [B]HKEY_USERS\[COLOR="#0000FF"]<Имя проблемной учетки>[/COLOR]\Software\Microsoft\Windows\CurrentVersion\Run[/B] в отдельные файлы, заархивируйте и прикрепите к сообщению.
параметр userinit C:\windows\system32\userinit.exe,
параметр shell Explorer.exe
Вот Ваш блокировщик
[CODE][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"S121146130"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S129151114"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S851540"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S148124151"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S759963"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S12111318"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S19819586"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S18468141"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S7013943"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S69199157"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S18617198"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S197160169"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S137172138"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S1434734"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S62179151"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S41171134"="C:\\Users\\KAFEDR~1\\AppData\\Local\\Temp\\124kkk290347.exe"
"S32144101"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S511695"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S8638166"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S2310015"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S1943570"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S155136144"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S9131141"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S70195168"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S66886"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S617619"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S666942"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S17115280"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S985560"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S11121103"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S29104150"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S162134175"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S166187115"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S12072164"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S156618"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
"S187573"="C:\\Users\\kafedra-43\\AppData\\Local\\Temp\\124kkk290347.exe"
[/CODE]Удалите указанные параметры в реестре и прописанный в них файл
Пробуйте стартовать обычным образом
Если все пройдет успешно, выполните [url]http://virusinfo.info/pravila.html[/url] [B]в обязательном порядке[/B]
Спасибо,
теперь все ОК, после сканирования могу прислать логи, если нужно.
Прописанный Файл вируса удалила через безопасный режим с командной строкой.
Выполните [url]http://virusinfo.info/pravila.html[/url]
готово
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\kafedra-43\AppData\Roaming\Okeqa\kaobp.exe','');
QuarantineFile('C:\Users\kafedra-43\AppData\Roaming\Fpcwcb.exe','');
DeleteFile('C:\Users\kafedra-43\AppData\Local\Temp\124kkk290347.exe');
DeleteFile('C:\Users\kafedra-43\AppData\Roaming\Fpcwcb.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fpcwcb');
DeleteFile('C:\Users\kafedra-43\AppData\Roaming\Okeqa\kaobp.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{064F9454-66DC-19FF-443E-6C56E8E50065}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
в "Файл" -> "Просмотр карантина" ничего нет, архивировать и присылать нечего... или я не там смотрю?
Значит пропускайте карантин и идите дальше
есть
Плохого не видно
Установите правильную системную дату
хорошо,
спасибо огромное)