Помогите, пожалуйста, на экране на прозрачно-сером фоне появилась надпись "Блокировка Windows. У вас 24 часа для активации. Отправьте SMS..."
Перезагрузка ничего не дает.
Printable View
Помогите, пожалуйста, на экране на прозрачно-сером фоне появилась надпись "Блокировка Windows. У вас 24 часа для активации. Отправьте SMS..."
Перезагрузка ничего не дает.
[url]http://virusinfo.info/pravila.html[/url]
С удовольствием протестировала бы систему и прислала логи, только подскажите как попасть в Windows.
Надпись о блокировке не позволяет подключиться к Windows
Загрузиться с Live CD или попробовать запустить консоль восстановления.
Dr.Web LiveCD [url]http://www.freedrweb.com/livecd/[/url]
можно еще [url]http://virusinfo.info/showthread.php?t=44817[/url]
Windows вроде загрузился.
Пожалуйста, проверьте логи
Какой антивирус использовался до заражения?
Этот [QUOTE]Kaspersky Anti-Virus Personal\5.0[/QUOTE]?
Пофиксить в HiJack
[code] F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\usrinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - Winlogon Notify: sys32 - C:\WINDOWS\ [/code]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\winDqlXMhM9av8w.exe','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\usrinit.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1dsxx.sys','');
DeleteService('ati1dsxx');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1dsxx.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\usrinit.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\WINDOWS\Temp\winDqlXMhM9av8w.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
До заражения стоял DrWeb, но после удачной загрузки Windows, при попытке проверить DrWeb ругается на ошибку приложения и не запускает. Поэтому поставлен Kaspersky Removal Tool.
Карантин отправила. Логи когда будут готовы отправлю.
проверьте пожалуйста логи
Выполните скрипт в AVZ
[code]begin
DeleteService('ids0005c');
DeleteService('ids00026');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Проблема с DrWeb еще осталась?
Спасибо проблемы решились, всё работает
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft common\svchost.exe - [B]Worm.Win32.Downloader.akw[/B][*] c:\windows\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.WebMoner.hp[/B][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.gen[/B] ( BitDefender: Trojan.Spy.Zbot.SO )[*] c:\windows\temp\windqlxmhm9av8w.exe - [B]Trojan-PSW.Win32.LdPinch.acwb[/B] ( BitDefender: Trojan.Generic.1325966 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]