WinLock 9128430896

[cragx]

Выскочило сообщение о блокировке Windows. Просят положить 1000 руб. на телефон +7 9128430896.
Курсор активен только в пределах окна.
Компьютер загружается под другим пользователем.
Помогите пожалуйста.

Вложение 414199
Вложение 414200
Вложение 414201

[Info_bot]

Уважаемый(ая) cragx, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Логи из работающей учетки бесполезны.
В каком-либо из безопасных режимов загружается без блокировки в прроблемной учетке?

[cragx]

Нет, в безопасном режиме такая же картина с блокировкой.

- - - Добавлено - - -

Нет, в безопасном режиме такая же картина с блокировкой.

[mrak74]

Пофиксите в HijackThis:

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=wbst&s={searchTerms}&f=4
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://lasdata.com/UseJodego/ruyeah.pac
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

Сделайте полный образ автозапуска uVS + Сделайте логи RSIT

[regist]

cragx, только не забудьте на шаге №4 запустить с выбором проблемной учётной записи.

[cragx]

А нормально что образ уже 3 с лишним часа сохраняется и выполнен только на 29%?

[mrak74]

А нормально что образ уже 3 с лишним часа сохраняется и выполнен только на 29%?

Не сталкивался с такими случаями, обычно не более 30 минут затрачивается на создание образа. Антивирус отключен ?

[cragx]

Антивирусы отключены.
Уже 33%...может имеет смысл перезагрузиться и заново запустить...или уже подождать до позднего вечера когда сохранится до конца?

[mrak74]

Лучше до конца подождать, но если что то не так пойдет, сделайте первыми логи RSIT и опубликуйте их в теме.

[cragx]

RSIT уже сделал.
Вложение 414297
Вложение 414298

- - - Добавлено - - -

Только 60 % ....

[thyrex]

В безопасном режиме с поддержкой командной строки тоже блокировка?

[cragx]

Не дает прикрепить образ, недостаточно места. Как удалить ранее загруженные файлы из менеджера вложений?

[regist]

загрузите сюда http://rghost.ru/ и дайте ссылку на скачивание.

[cragx]

В общем ситуция адовая...После моего последнего сообщения здесь, у меня почти сразу перестал открываться этот сайт, а заодно все сайты в имени которых пристуствует название антивируса или слово virus. Вместо этого открывается яндекс...с рекламой под поисковой строкой + баннер слева почти на всех открываемых страницах....Только сейчас удалось через анонимайзер зати на сайт. Делаю новые логи. Пока прикреплю образ.
http://rghost.ru/45324133

[cragx]

В общем ситуция адовая...После моего последнего сообщения здесь, у меня почти сразу перестал открываться этот сайт, а заодно все сайты в имени которых пристуствует название антивируса или слово virus. Вместо этого открывается яндекс...с рекламой под поисковой строкой + баннер слева почти на всех открываемых страницах....Только сейчас удалось через анонимайзер зати на сайт.

Прикрепляю образ.
http://rghost.ru/45324133

Новые логи из учетки в которой сайты не открываются и баннеры выскакивают:

http://rghost.ru/45325033
http://rghost.ru/45325043
http://rghost.ru/45325050

[cragx]

В общем у меня вообще АХТУНГ...Поле последнего сообщения здесь, у меня перестал открываться форум, а вместе с ним перестали открыватьсявсе ресурсы посвещенные антивирусам и методам борьбы с вредоносными програмами...Вместо них открывается яндекс с красивым банером по центру) + банер слева в Опере всплывает на всю высоту окна на всех сайтах.Только вчера с помощью анонимайзера удалось сюда зайти, но мои сообщения с ссылками на логи и образ, залитые на rghost не публикуются уже сутки, ожидая проверки модератора...

[regist]

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

breg
; C:\USERS\АНДРЕЙ\8797356.EXE
addsgn A7679B19B192CD9E33D6AEB1379E787D7DE0FD902A2A1C3985A9C33114F25D1CAE53E7136E3D9D4D6A8043DB622E4DFB7DDF17674968F02C4BFCE00B816E4A77 8 Trojan-Ransom.Win32.Gimemo.bamy

zoo %SystemDrive%\USERS\АНДРЕЙ\8797356.EXE
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\POCLBM\T2.VBS
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\POCLBM\T2.VBS
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\FLASH\UPDATE.VBS
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\FLASH\UPDATE.VBS
bl 253CF4867700956FCFF2BA463C64212A 123904
delref HTTP://STARTRU.NET/?UTM_MEDIUM=CH&UTM_SOURCE=AFO3&UTM_CAMPAIGN=BP&UTM_CONTENT=11-11
delref HTTP://DOSSEARCH.RU
delref F:\RUNPACK.EXE
zoo %SystemDrive%\PROGRA~3\MOZILLA\XUROGBK.EXE
delall %SystemDrive%\PROGRA~3\MOZILLA\XUROGBK.EXE
chklst
delvir
restart

после перезагрузки

Внимание !!! База поcледний раз обновлялась 31.03.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.39.

Пожалуйста обновите базы AVZ и сделайте новые логи по правилам раздела.

[cragx]

Ошибка при запуске скрипта:" `Begin` expected в позиции 1:1 "

[regist]

а зачем вы в AVZ запускаете скрипт ? по ссылке переходили ? читали http://virusinfo.info/showthread.php?t=121769 ?