Printable View
Выскочило сообщение о блокировке Windows. Просят положить 1000 руб. на телефон +7 9128430896.
Курсор активен только в пределах окна.
Компьютер загружается под другим пользователем.
Помогите пожалуйста.
[ATTACH]414199[/ATTACH]
[ATTACH]414200[/ATTACH]
[ATTACH]414201[/ATTACH]
Уважаемый(ая) [B]cragx[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Логи из работающей учетки бесполезны.
В каком-либо из безопасных режимов загружается без блокировки в прроблемной учетке?
Нет, в безопасном режиме такая же картина с блокировкой.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Нет, в безопасном режиме такая же картина с блокировкой.
Пофиксите в HijackThis:
[CODE]R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=wbst&s={searchTerms}&f=4
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://lasdata.com/UseJodego/ruyeah.pac
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)[/CODE]
[URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL] + Сделайте логи [URL="http://virusinfo.info/showthread.php?t=115256&p=859292#post859292"][B]RSIT[/B][/URL]
[b]cragx[/b], только не забудьте на шаге №4 запустить с выбором проблемной учётной записи.
А нормально что образ уже 3 с лишним часа сохраняется и выполнен только на 29%?
[QUOTE=cragx;992494]А нормально что образ уже 3 с лишним часа сохраняется и выполнен только на 29%?[/QUOTE]
Не сталкивался с такими случаями, обычно не более 30 минут затрачивается на создание образа. Антивирус отключен ?
Антивирусы отключены.
Уже 33%...может имеет смысл перезагрузиться и заново запустить...или уже подождать до позднего вечера когда сохранится до конца?
Лучше до конца подождать, но если что то не так пойдет, сделайте первыми логи RSIT и опубликуйте их в теме.
RSIT уже сделал.
[ATTACH]414297[/ATTACH]
[ATTACH]414298[/ATTACH]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Только 60 % ....
В безопасном режиме с поддержкой командной строки тоже блокировка?
Не дает прикрепить образ, недостаточно места. Как удалить ранее загруженные файлы из менеджера вложений?
загрузите сюда [url]http://rghost.ru/[/url] и дайте ссылку на скачивание.
В общем ситуция адовая...После моего последнего сообщения здесь, у меня почти сразу перестал открываться этот сайт, а заодно все сайты в имени которых пристуствует название антивируса или слово virus. Вместо этого открывается яндекс...с рекламой под поисковой строкой + баннер слева почти на всех открываемых страницах....Только сейчас удалось через анонимайзер зати на сайт. Делаю новые логи. Пока прикреплю образ.
[url]http://rghost.ru/45324133[/url]
В общем ситуция адовая...После моего последнего сообщения здесь, у меня почти сразу перестал открываться этот сайт, а заодно все сайты в имени которых пристуствует название антивируса или слово virus. Вместо этого открывается яндекс...с рекламой под поисковой строкой + баннер слева почти на всех открываемых страницах....Только сейчас удалось через анонимайзер зати на сайт.
Прикрепляю образ.
[url]http://rghost.ru/45324133[/url]
Новые логи из учетки в которой сайты не открываются и баннеры выскакивают:
[url]http://rghost.ru/45325033[/url]
[url]http://rghost.ru/45325043[/url]
[url]http://rghost.ru/45325050[/url]
В общем у меня вообще АХТУНГ...Поле последнего сообщения здесь, у меня перестал открываться форум, а вместе с ним перестали открыватьсявсе ресурсы посвещенные антивирусам и методам борьбы с вредоносными програмами...Вместо них открывается яндекс с красивым банером по центру) + банер слева в Опере всплывает на всю высоту окна на всех сайтах.Только вчера с помощью анонимайзера удалось сюда зайти, но мои сообщения с ссылками на логи и образ, залитые на rghost не публикуются уже сутки, ожидая проверки модератора...
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
; C:\USERS\АНДРЕЙ\8797356.EXE
addsgn A7679B19B192CD9E33D6AEB1379E787D7DE0FD902A2A1C3985A9C33114F25D1CAE53E7136E3D9D4D6A8043DB622E4DFB7DDF17674968F02C4BFCE00B816E4A77 8 Trojan-Ransom.Win32.Gimemo.bamy
zoo %SystemDrive%\USERS\АНДРЕЙ\8797356.EXE
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\POCLBM\T2.VBS
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\POCLBM\T2.VBS
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\FLASH\UPDATE.VBS
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\FLASH\UPDATE.VBS
bl 253CF4867700956FCFF2BA463C64212A 123904
delref HTTP://STARTRU.NET/?UTM_MEDIUM=CH&UTM_SOURCE=AFO3&UTM_CAMPAIGN=BP&UTM_CONTENT=11-11
delref HTTP://DOSSEARCH.RU
delref F:\RUNPACK.EXE
zoo %SystemDrive%\PROGRA~3\MOZILLA\XUROGBK.EXE
delall %SystemDrive%\PROGRA~3\MOZILLA\XUROGBK.EXE
chklst
delvir
restart[/CODE]
после перезагрузки
[QUOTE][B][COLOR=Navy]Внимание !!![/COLOR][/B] База поcледний раз обновлялась 31.03.2013 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.39.[/QUOTE]
Пожалуйста обновите базы AVZ и сделайте новые логи по правилам раздела.
Ошибка при запуске скрипта:" `Begin` expected в позиции 1:1 "
а зачем вы в AVZ запускаете скрипт ? по ссылке переходили ? читали [url]http://virusinfo.info/showthread.php?t=121769[/url] ?
Прошу прощения, на автомате засунул в AVZ...Сейчас все сделаю...
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Блокировка снялась.
Баннеры в Опере остались+добавлись всплывающие снизу как в контакте.
Форум тоже открывается только через анонимайзер.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Логи
http://rghost.ru/45357579
http://rghost.ru/45357602
http://rghost.ru/45357622
Проблема осталась...
Пролечитесь [url]http://support.kaspersky.ru/9208?el=88446[/url] - этой утилитой, после этого повторите логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Не удается открыть указанную страницу ни в одном из установленных браузеров.
[url]http://rghost.ru/45370266[/url] скачайте по этой ссылке
+ К написанному выше Multi Password Recovery сами устанавливали ?
+ Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Андрей\appdata\roaming\flash\cgminer.exe','');
QuarantineFile('C:\Users\Андрей\8797356.exe','');
DeleteFile('C:\Users\Андрей\appdata\roaming\flash\cgminer.exe');
DeleteFile('C:\Users\Андрей\8797356.exe');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
- Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=290-virus-detector][B]тут[/B][/url]. Ссылку на результат проверки напишите в сообщении здесь.
CapperKiller ничего не нашел.Multi Password Recovery вроде бы сам...Давно дело было. Сейчас он мне точно не нужен.Процедуру описанную по ссылке не прошел, так как сайт до сих пор только через анонимайзер открывается, и открывается по ссылке белая страница.Проблемы с баннерами повсюду тоже остались.Логи:[url]http://rghost.ru/45371726[/url][url]http://rghost.ru/45371735[/url][url]http://rghost.ru/45371742[/url]
[quote="cragx;994342"]Процедуру описанную по ссылке не прошел, так как сайт до сих пор только через анонимайзер открывается, и открывается по ссылке белая страница.[/quote]
вкратце выполните в AVZ скрипт №8. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_имя_вашего_ПК.zip (например, virusinfo_auto_Sergey_SonyVaio.zip) загрузите этот файл сюда [url]http://rghost.ru/[/url] ссылку на скачивание мне в личку.
----------------------
Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2012-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Ссылку отправил.Отчет из МВАМ:[url]http://rghost.ru/private/45375906/70fd8708f80c5475527ee2cdcfea5882[/url][COLOR="silver"]- - - Добавлено - - -[/COLOR]Поймал себя на мысли, что все многочисленные проблемы начали возникать с обновлением icq...может конечно просто совпадение...