Банер заблокировал экран

Добрый день. Помогите пожалуйста. Банер (синий надпись Windows заблокирован и т.д) блокирует экран. В безопасном режиме не грузиться. ничего не могу сделать. Скачала erd comander. С него запустился в реестре в одном месте убрала, но после перезагрузки он восстановился. Кроме того Erd comander на этапе загрузки не находит папку с Windows.

Уважаемый(ая) [B]olga_3008[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Логи сканирования представить не могу так как комп заблокировал Банер, а из erd coomander не вижу флешек.

Если окошко с блокером появляется до логотипа windows, то скажите об этом, если после логотипа, то выполните следующее:

[b][color="Red"]I этап[/color][/b] (выполняется на [b]чистой от вирусов[/b] машине)

1. Скачайте на компьютере, [b]с которого сейчас пишете[/b], образ [url="http://support.kaspersky.ru/faq/?qid=208638415"]Kaspersky Rescue Disk[/url] (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

[b][color="Red"]II этап[/color][/b] (выполняется на [b]заблокированной[/b] машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите [b]1[/b], чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите [b]Kaspersky Registry Editor[/b]
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), [b]если у Вас их несколько[/b]
– посмотрите в реестре:
[b]ветка[/B] [color="Red"]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/color]
[b]параметр[/b] [color="Blue"]userinit[/color]
[b]параметр[/b] [color="Blue"]shell[/color]
Значения этих параметров напишите в своем сообщении

Также с помощью этого диска сделайте экспорт веток реестра [B]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run[/B] и [B]HKEY_USERS\[COLOR="#0000FF"]<Имя проблемной учетки>[/COLOR]\Software\Microsoft\Windows\CurrentVersion\Run[/B] в отдельные файлы, заархивируйте и прикрепите к сообщению.

параметр userinit RG_SZ C:\windows\sestem32\userinit.exe,C:\WINDOWS\apppatch\ghmcgy.exe
параметр shell explorer.exe
подскажите пожалуйста как сделать экспорт веток и как перенести полученные файлы на комп. с которого можно отправить. На зараженном подключению к интернету есть (касперский обновился), но где найти браузеры?

[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]

Вроде все вышло только заархивировать не могу. Может так попробовать . Вложения ваще не хотят работать на этом компе((((

Вроде получилось. ))

Исправьте в реестре параметр Userinit должен быть (с запятой на конце, всё остальное удалите).
[CODE]Userinit = C:\Windows\system32\userinit.exe,[/CODE]

В ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run оставьте только параметры CTFMON.EXE,
VistaIcon, Google Update. и удалите параметры S3291179, S1351886, S12852133 и т.д.

Файлы [I]C:\WINDOWS\apppatch\ghmcgy.exe[/I] и [I]C:\Documents and Settings\Олечка-Фасолечка\Local Settings\\Temporary Internet Files\Content.IE5\YN313AZ7\files_load1[1].exe[/I] заархивируйте в zip архив с паролем [COLOR="#FF0000"][B]virus[/B][/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы. Сами файлы удалите. Попробуйте загрузиться и сделать логи по правилам.

Направляю логи полученные в процессе диагностики. HijackThis в конце выдал ошибку

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\PixArt\PAP7501\SNAPSHOT.exe','');
QuarantineFile('C:\Program Files\Common Files\PAP7501\SNAPSHOT.exe','');
QuarantineFile('C:\WINDOWS\mwmmgr32\mwmmgr32.exe','');
QuarantineFile('C:\WINDOWS\apppatch\gtmcgy.exe','');
QuarantineFile('C:\Documents and Settings\Олечка-Фасолечка\Local Settings\Temporary Internet Files\Content.IE5\YN313AZ7\files_load1[1].exe','');
DeleteFile('C:\Documents and Settings\Олечка-Фасолечка\Local Settings\Temporary Internet Files\Content.IE5\YN313AZ7\files_load1[1].exe');
DeleteFile('C:\WINDOWS\apppatch\gtmcgy.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Клавиатурные шпионы вы себе устанавливали (пользовались) ?

Файл [I]C:\WINDOWS\mwmmgr32\mwmmgr32.exe[/I] проверьте на [url]http://www.virustotal.com/[/url] ссылку на результат проверки напишите в своём сообщение.

Добрый вечер! Огромное спасибо за помощь!

Файл C:\WINDOWS\mwmmgr32\mwmmgr32.exe не нашла даже с помощью поиска. Клавиатурных шпионов не ставила (правда не знаю что это такое), но в любом случае лучше убрать.

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
var StartupFolder:string;
begin
StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\mwmmgr32\mwmmgr32.exe','');
QuarantineFile('C:\WINDOWS\apppatch\gtmcgy.exe','');
DeleteFile('C:\WINDOWS\apppatch\gtmcgy.exe');
DeleteFile('C:\WINDOWS\mwmmgr32\mwmmgr32.exe');
QuarantineFile(StartupFolder + '\AdobeUpdate.lnk','');
DeleteFile(StartupFolder + '\AdobeUpdate.lnk');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Sys32VContoller');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

+ Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.

Добрый вечер.
Выполнила все ваши рекомендации. Уязвимости устранены. Вот результат загрузки последней рекомендации:
Файл сохранён как 120410_202313_virusinfo_files_MICROSOF-88C7A6_4f8496b14abf3.zip
Размер файла 2267844
MD5 d0d00fe4c8097b214762544e97173fad

На всякий случай отправляю логи сделанные в соответствии с вашими рекомендациями. hijack выполняется с ошибкой может прислать ее вам?

[B]Обновите базы AVZ ещё раз.[/B]

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\apppatch\gtmcgy.exe','');
DeleteFile('C:\WINDOWS\apppatch\gtmcgy.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis

[CODE]O4 - Startup: AdobeUpdate.lnk = C:\WINDOWS\system32\cmd.exe[/CODE]

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])


Откройте AVZ - нажмите Сервис - Поиск данных в реестре - поищите

[I]C:\WINDOWS\apppatch\gtmcgy.exe[/I] и просто [I]gtmcgy.exe[/I]

создайте reg файл с найденными ключами, заархивируйте и прикрепите его к своему сообщению.

[quote="olga_3008;883157"]hijack выполняется с ошибкой может прислать ее вам?[/quote]
пришлите :)

Добрый вечер! Что-то сегодня работа не пошла)))

Профиксите в HijackThis

Код:
O4 - Startup: AdobeUpdate.lnk = C:\WINDOWS\system32\cmd.exe - этот код я не нашла, хотя оч! старалась.

C:\WINDOWS\apppatch\gtmcgy.exe и просто gtmcgy.exe- этих штуковин в реестре тоже не находит.

hijack выполняется с ошибкой может прислать ее вам?
Принт скрином ошибка не хочет копироваться. может есть какой еще способ ее вам показать

Прошу прощения забыла прошлый раз обновит базы AVZ/ Теперь все сделала заново, но результат в принципе тот же. Шлю полученные скрипты

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

Опять выскочила та же ошибка, что и при запуске HijackThis. Направляю полученные логи.

Удалите папки:
[CODE]C:\ZkP6iSUoMOHzjDo
C:\gGtj0aFaWUBovbR
C:\Documents and Settings\Олечка-Фасолечка\Application Data\MicroST[/CODE]

Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]новый Internet Explorer[/URL], а также все доступные [URL="http://www.update.microsoft.com/"]обновления для Windows[/URL]


Проблемы какие-нибудь остались?

Добрый вечер. Огромное спасибо за помощь. Вреде все проблемы ушли.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\files_load1[1].exe - [B]Trojan-Ransom.Win32.Gimemo.pkr[/B] ( DrWEB: BackDoor.Butirat.60, BitDefender: Trojan.Generic.KDV.595054, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]