-
pornohub.com
Вымогательский баннер, требующий отправить смс и рекламирующий сайт pornohub.com не позволяет работать с окнами. Мышью удается только установить курсор в поле для ввода разблокировочного кода на этом баннере, а из клавишь работает нормально только со значком "Windows". Вобщем запустить нужные программы пока не удалось.
В безопасном режиме тоже этот баннер закрывает собой вообще весь рабочий стол и ничего не видно.
На машине стоит Windows XP с антивирусом Avira.
При выключении компьютера этот баннер пропадает в первую очередь.
Могу прислать фото этого баннера.
Что можно предпринять, чтобы запустить программы, требуемые правилами?
-
1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
[B]параметр[/B]
[code]AppInit_DLLs[/code]
Содержимое этого параметра напишите в своем сообщении
-
[QUOTE='thyrex;648909']запишите на болванку и загрузитесь с созданного диска[/QUOTE]Скачал, записал на болванку, но вот проблема - у меня DVD-Rom последнее время стал глючить: CD напрочь отказывался читать, а DVD по настроению. Вобщем, с привода не получилось загрузиться.
Вопрос - возможно ли это сделать с USB-флешки или внешнего HDD (файловая система FAT32)?
В биосе можно выбрать для первичной загрузки USB-HDD или USB-CD ROM. Я пробовал указать USB-HDD и присоединял одновременно флешку с образом и внешний HDD. Индикатор активности на HDD моргает, но ничего не запускается :( Файл образа положил в корень (на диске у меня еще много всяких данных хранится), но файл .iso только один.
Попробую завтра еще взять на прокат внешний USB-CD Rom, может с него болванка запустится?
-
[QUOTE='thyrex;648909']1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска[/QUOTE]
Удалось-таки запустить записанную болванку, но...
Система с нее не запустилась. Сначала грузится какой-то текст на черном экране (есть несколько фото, если потребуется), потом все останавливается на этом:
[IMG]http://s54.radikal.ru/i144/1006/7b/ce68eac676aa.jpg[/IMG]
Последняя строка в тексте выглядит:
[DR-DOS] A:\>
и в конце нее мигает курсор, т.е. можно вводить команды, но я не знаю, какие именно и что это даст (в дос-е никогда не работал).
Вместо ERD Commander попробовал еще LiveCD с сайта Доктор Веб, тот же черный экран с командной строкой :(
Подскажите, пожалуйста, что можно еще сделать?
Завтра мне обещали дать переходник, с которого можно будет подцепить жесткий диск с зараженного компьютера через USB к моему ноутбуку - что в этом случае можно будет сделать?
Заранее благодарю за ответы.
На всякий случай уточню: XP у меня стоит SP2
[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]
Дополнение:
Мой случай, как в этой теме: [URL]http://virusinfo.info/showthread.php?t=80266[/URL] - тот же короткий номер 3381 (красный баннер с тремя картинками),
[IMG]http://s001.radikal.ru/i196/1006/8d/d0270c740be2.jpg[/IMG]
но коды разблокировки, которые по телефону дает мне поставщик смс-услуг почему-то не срабатывают. Правда, прежде чем позвонить поставщику услуг, я пытался вводить коды, размещенные на сайте "Касперского". Когда я ввожу код разблокировки и жму кнопку "отключить", то никаких видимых изменений не происходит. Хотя однажды, когда я выложенные на "Касперском" коды вводил, картинка баннера задрожала так мелко и это продолжалось довольно долго, пока я компьютер не перезагрузил.
Не знаю поможет ли эта информация чем-нибудь, но уж очень хочется побороть эту заразу, а то компьютером уже несколько дней пользоваться не могу и информация на нем важная для меня есть - удалять ее нельзя.
-
Странный образ ERD Commander. Процесс загрузки должен быть похож на загрузку обычной системы
-
[QUOTE=thyrex;650343]Странный образ ERD Commander. Процесс загрузки должен быть похож на загрузку обычной системы[/QUOTE]
Честно признатся, образ приходится делать впервые. Скачал файл .iso, распаковал его, в Nero Burning ROM выбрал DVD > DVD-ROM (Boot), бросил в корень распакованные файлы, записал болванку.
Знаю, что должно загрузиться как обычная система, но у меня указанный выше результат получился и с ERD Commander и с LiveCD от Доктора Веба :(.
Мне еще подсказали вариант загрузки с флешки через Windows XP Portable. У меня получилось!
Через него можно действовать?
Команда regedit в нем не работает, но все содержимое дисков доступно.
-
В Нероне надо было выбрать "Записать образ". Без распаковки.
-
[QUOTE=thyrex;648909]1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
[B]параметр[/B]
[code]AppInit_DLLs[/code]
Содержимое этого параметра напишите в своем сообщении[/QUOTE]
Получилось! Спасибо pig!
Напротив AppInit_DLLs в колонке Type написано REG_SZ, в колонке Data пусто.
-
Тогда проверьте содержимое параметра [B]userinit[/B] по такой инструкции [url]http://virusinfo.info/showthread.php?t=51777[/url]
-
[QUOTE=thyrex;650875]Тогда проверьте содержимое параметра [B]userinit[/B] по такой инструкции [URL]http://virusinfo.info/showthread.php?t=51777[/URL][/QUOTE]
в папке [B]C:\windows\system32 [/B]вижу только userinit без расширения .exe
открываю в ERD Commander указанный в инструкции раздел, вижу там два файла с именем software без расширения
первый при откытии выглядит так:
[IMG]http://s11.radikal.ru/i183/1006/4d/759ee2486ea3.jpg[/IMG]
второй при открытии говорит, что процесс не может получить доступа, т.к. файл занят другим процессом
далее в инструкции сказано: "4. Введите имя для раздела, который вы загрузили, например, [B]MyHive[/B]." - честно говоря, я не понял, где вводить имя раздела?
по пятому пункту инструкции параметр Userinit такой [B]C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\userinit.exe [/B](дважды через запятую)
-
[QUOTE='Алек;651072']по пятому пункту инструкции параметр Userinit такой C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\userinit.exe (дважды через запятую)[/QUOTE]Оставьте такой [B]C:\WINDOWS\system32\userinit.exe,[/B]
[COLOR="Blue"][B]Все буквы должны быть английскими[/B][/COLOR]
Перезагрузитесь в нормальном режиме. Баннер пропал?
-
Ну наконец-то!!!
Наконец-то я могу нормально работать с компьютером. Баннер пропал. При загрузке в нормальном режиме Avira сразу же отловил трояна: [QUOTE]В файле 'C:\Documents and Settings\Alex\Главное меню\Программы\Автозагрузка\siszpe32.exe'
был обнаружен вирус или вредоносная программа 'TR/Dldr.Bredolab.AA.123' [trojan].
Выполняемое действие: Удалить файл[/QUOTE]
Далее перегрузился в безопасный режим и CureIt прибил трояна Trojan.Packed.20343 с именем файла usrinit.exe по адресу C:\WINDOWS\system32 и ~TM16.tmp, ~TM42.tmp по адресу C:\WINDOWS\temp
Скачал заново AVZ, но при попытке обновить базы получаю такое сообщение: [QUOTE]Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с [url]http://www.z-oleg.com/secur/avz_up/[/url] [21, 00002EFD][/QUOTE]
Обновил базы вручную.
Сейчас буду делать логи. Оказывается, у меня было отключено восстановление системы! Несколько месяцев назад запускал AVZ, отключил, а включить потом забыл.
Присоединяю полученные логи
-
Сделайте лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
-
Вот отчет [COLOR=Black]Malwarebytes Antimalware:
[/COLOR]
-
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные папки:
C:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\Documents and Settings\Alex\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Alex\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken.[/CODE]
-
Прилагаю лог после удаления указанных файлов:
-
Порядок
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Обновите [url="http://www.java.com/ru/download/manual.jsp"]JavaRE[/url]
-
[QUOTE=thyrex;652352]Порядок
Установите [URL="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/URL] (может потребоваться активация) + все новые патчи
Обновите [URL="http://www.java.com/ru/download/manual.jsp"]JavaRE[/URL][/QUOTE]
Спасибо!
[URL="http://www.java.com/ru/download/manual.jsp"]JavaRE[/URL] обновил, а [URL="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/URL] пожалуй воздержусь, т.к. слышал, что иногда после его установки возникают проблемы. У меня система уже около пяти лет стоит - ниразу не переустанавливал за это время и не восстанавливал и опасаюсь, что установка SP3 может нарушить стабильность системы на моем компе.
А вообще насколько критично обновление с SP2 на SP3?
Еще раз спасибо за помощь!
P.S. Восстановление системы можно включить?
-
[QUOTE='Алек;652377']А вообще насколько критично обновление с SP2 на SP3?[/QUOTE]Чем больше дыр в системе, тем легче в нее проникнуть. Решать Вам.
Восстановление можете включить
Page generated in 0.01551 seconds with 10 queries