Показано с 1 по 18 из 18.

Баннер (заявка № 100090)

  1. #1
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    37

    Баннер

    Здравствуйте!
    При работе в браузере перестал переключаться язык на английский.
    После перезагрузки на пустом рабочем столе появился порнобаннер:
    "Вы установили информер для быстрого доступа на наш сайт. Срок действия информера 30 дней". Просят пополнить счет абонента МТС на 300 рублей и ввести код операции, сумму и код терминала.

    "Если в течение 12 часов с момента появления данного сообщения не будет введен код, все данные, включая Windows и BIOS, будут безвозвратно удалены!"
    Это реально, или просто угроза??

    На раб. столе нет ни кнопки "Пуск", ни одного значка. Поэтому логи сделать невозможно.

    В безопасном режиме войти не удается - появляется синий экран с надписью об ошибке. Однако после работы с помощниками на вашем сайте (когда несколько месяцев назад лечились от вирусов) при перезагрузке компьютер предлагает варианты (извините, надпись исчезает быстро, полностью воспроизвести все не могу):
    Microsoft Windows Recovery Console
    do not select this [с отладчиком]
    Microsoft Windows Professional RU
    USB repair not to start Microsoft Windows

    Мы по умолчанию обычно запускали третий вариант. Стоит ли воспользоваться каким-либо из оставшихся? Не опасно ли это? Поможет ли?
    Каковы наши дальнейшие действия?

    Пожалуйста, помогите!
    Последний раз редактировалось Morwane; 31.03.2011 в 16:22. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
    2. Пуск - Выполнить - erdregedit
    3. Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    Код:
    userinit
    параметр
    Код:
    shell
    Значения этих параметров напишите в своем сообщении
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    37
    Спасибо, что ответили.

    Пока ждали:
    Прочитали на сайте антивируса совет ввести код "11111" в каждое окно, но это не помогло. Теперь пишет, что "у вас осталось всего 9 попыток". Потом прочитали, что для баннера с тремя окошками на синем фоне кодов пока нет.

    У меня под рукой только старый ноутбук.
    Последний раз редактировалось Morwane; 31.03.2011 в 15:28. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    37
    Удалось запустить с диска ERD Commander, нужную ветку открыли.

    Подскажите, пожалуйста, что дальше делать?
    Где найти параметры, которые вы просили указать?
    параметр
    Код:
    userinit
    параметр
    Код:
    shell

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Выполните написанное в сообщении №2. Без этого никак
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    37
    В папке Winlogon:
    Shell - Type: REG_SZ - C:\Program Files\Common Files\ModemLogs\svhost.exe

    Userinit - Type: REG_SZ - C:\Windows\system32\userinit.exe,
    Последний раз редактировалось Morwane; 31.03.2011 в 16:54.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Цитата Сообщение от Morwane Посмотреть сообщение
    Shell - Type: REG_SZ - C:\Program Files\Common Files\ModemLogs\svhost.exe
    Исправьте на explorer.exe и пробуйте загружаться
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    37
    Исправьте на explorer.exe и пробуйте загружаться
    Сделали.
    Баннер исчез, но на рабочем столе НИЧЕГО нет.
    Последний раз редактировалось Morwane; 31.03.2011 в 16:44.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    В Безопасном режиме с поддержкой командной строки загружается?
    Если да - введите explorer и нажмите Enter.
    Попробуйте запустить AVZ и сделайте логи.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. #10
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    37
    В Безопасном режиме с поддержкой командной строки загружается?
    Нет. "A problem has been detected..."

    В обычном режиме можно открыть avz через Диспетчер задач. Удалось обновить базы.
    Последний раз редактировалось Morwane; 31.03.2011 в 18:32.

  12. #11
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    37
    Отключили восстановление системы, антивирус отключить не удалось (не вижу, где это можно сделать). Запустили avz.
    Лог HiJack This нужен?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Program Files\Common Files\ModemLogs\svhost.exe','');
    QuarantineFile('c:\program files\common files\modemlogs\explorer.exe','');
    DeleteFile('c:\program files\common files\modemlogs\explorer.exe');
    DeleteFile('C:\Program Files\Common Files\ModemLogs\svhost.exe');
    BC_ImportAll;
    ExecuteSysClean;
     ExecuteRepair(5);
     ExecuteRepair(8);
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  14. #13
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    37
    Готово.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Теперь чисто. Что с проблемой?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  16. #15
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    37
    Вроде все нормально. Спасибо.

    Получается, штатный антивирус ничего не ловит? Можно как-то дополнительно защититься от подобных атак?

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Любой антивирус может пропустить. Абсолютной панацеи не существует.

    А дополнительно - примерно так:
    http://virusinfo.info/showthread.php?t=30339

    + базы антивируса должны постоянно автоматически обновляться.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    В порядке информации
    Цитата Сообщение от thyrex Посмотреть сообщение
    Исправьте на explorer.exe и пробуйте загружаться
    Нужно было заменять всю запись
    Цитата Сообщение от thyrex Посмотреть сообщение
    C:\Program Files\Common Files\ModemLogs\svhost.exe
    а не только ее окончание
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\common files\\modemlogs\\svhost.exe - Trojan-Ransom.Win32.Losya.cw ( DrWEB: Trojan.Inject.29243, BitDefender: Backdoor.Generic.634377 )


  • Уважаемый(ая) Morwane, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. баннер.
      От aerofan в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 26.03.2011, 03:43
    2. Баннер
      От Valdvd в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.11.2010, 14:53
    3. Баннер
      От Paul_Pustota в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 06.09.2010, 07:07
    4. Ответов: 3
      Последнее сообщение: 17.04.2010, 02:00
    5. СМС баннер
      От Vlad_V в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.01.2010, 23:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01280 seconds with 16 queries