-
Junior Member
- Вес репутации
- 48
Порно-информер
Здравствуйте.
Порно-информер заблокировал мне рабочий стол. Теперь сразу после приветствия я вижу форма с предложением пополнить счет на телефоне и вести реквизиты платежа (номер терминала/время).
Ctrl+Alt+Del заблокирован и дальнейшая работа с ПК не возможна.
При попытке загрузки в Safe-mode - BSOD.
Удалось загрузиться со второго диска с виндой.
(Диск C:\ первой винды виден из неё как F: )
KIS 2010 нашел и удалил в F:\Documents and Settings\**\Application Data\Sun\Java\Deployment\cache\6.0\51 Trojan-Downloader.Java.OpenConnection.cu
Сделал логи: Просьба помочь с лечением.
Последний раз редактировалось KisUser; 17.04.2011 в 11:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
В этих логах нет ничего, что указывает на присутствие заражения.
Давайте попробуем так:
1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
Должен появиться проводник.
2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
Код:
<диск с заблокированой ОС>:\WINDOWS\System32\config
Затем сообщите :
В ключе
Код:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
значение параметра
и значение параметра
-
-
Junior Member
- Вес репутации
- 48
У меня возникла странная проблема, возможно вирус что-то повредил.
Изначально было так:
HDD1 - Диск с блокированной виндой
HDD2 - Нормальный диск с виндой из которой я писал пост.
Сейчас при загрузке с
HDD2 я вижу порно-информер
При попытке загрузиться в Safe-mode с командой строкой имею BSOD:
STOP: 0x0000007B (0xF789E524, 0xC0000034, 0x00000000, 0x00000000)
HDD1 - загружаеться содержимое нормального диска.
Сейчас я загрузился с HDD1.
-
Junior Member
- Вес репутации
- 48
Обновление:
1) Проблема с загрузкой содержимого диска решена
2) При проверке диска F: (Диск C заблокированной винды) обнаружены и удалены трояны:
троянская программа Trojan-Ransom.Win32.Losya.dc F:\Program Files\Common Files\servicing\svhost.exe//UPX
троянская программа Trojan-Ransom.Win32.Losya.dc F:\Documents and Settings\***\Application Data\Sun\Java\Deployment\cache\6.0\62\51c9de3e-3fba7bd8
3) При загрузке с заблокированного диска:
*Safe-mode: BSOD
*Обычная загрузка: После приветствия - фоновый рискнок, ничего более не происходит. Можно только подвигать мышкой и вызвать диспетчер задач
*Live-CD:
Userinit = C:\WINDOWS\System32\userinit.exe,
Shell = C:\Program Files\Common Files\servicing\svhost.exe
-
Сообщение от
KisUser
Shell = C:\Program Files\Common Files\servicing\svhost.exe
Исправьте на верное значение - explorer.exe
Перезагружайтесь и делайте логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Логи:
HiJackThis после установки не запускается, выдавая ошибку:
HiJackThis.exe - Не удалось найти компонент
---------------------------
Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден. Повторная установка приложения может исправить эту проблему.
Последний раз редактировалось KisUser; 17.04.2011 в 11:18.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\servicing\svhost.exe','');
DeleteFile('C:\Program Files\Common Files\servicing\svhost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
1) Скрипт выполнен
2) XP SP3 установлю когда найду средство активации
3) IE 8 не устанавливается - не может установить обновления
4) Логи: (Кроме HiJackThis)
Последний раз редактировалось KisUser; 17.04.2011 в 11:16.
-
Распакуйте файл в папку system32 и сделайте недостающий лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Последний раз редактировалось KisUser; 17.04.2011 в 11:17.
Причина: Удаление вложений
-
Плохого не видно
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
thyrex
Плохого не видно
Хорошо!
Сообщение от
thyrex
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Принял к сведению.
Спасибо!