Показано с 1 по 18 из 18.

Блокер (заявка № 101704)

  1. #1
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    48

    Блокер

    Подскажите, пожалуйста, что можно с этим сделать - после загрузки компьютера вылезает черный экран с требованием заплатить денег на номер МТС (примерно как здесь http://virusinfo.info/showthread.php?t=101041 )
    В безопасном режиме загрузиться не удается, Live CD Dr. Web и Касперский ничего не находят.

    shell--> Explorer.exe
    userinit --> С:\WINDOW\system32\userinit.exe,
    AppInit_DLLs --> пустое поле

    Очень надеюсь на вашу помощь
    Последний раз редактировалось Trata; 04.05.2011 в 13:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Цитата Сообщение от Trata Посмотреть сообщение
    shell--> Explorer.exe
    userinit --> С:\WINDOW\system32\userinit.exe,
    AppInit_DLLs --> пустое поле
    Эти параметры как именно посмотрели?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    48
    Через ERD-Commander 2005 с этого диска http://rutracker.org/forum/viewtopic.php?t=3006035.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Посмотрите в папке WINDOWS\system32 объем файлов userinit.exe и taskmgr.exe
    и в папке WINDOWS объем файла explorer.exe
    и сообщите.

    PS в первом сообщении ссылку неправильную указали.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    48
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Посмотрите в папке WINDOWS\system32 объем файлов userinit.exe и taskmgr.exe
    и в папке WINDOWS объем файла explorer.exe
    и сообщите.
    Спасибо, попробую посмотреть.
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    PS в первом сообщении ссылку неправильную указали.
    Ссылку исправила

  7. #6
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    48
    userinit.exe -> 25088 байт
    taskmgr.exe ->139264 байт
    explorer.exe ->1033728 байт

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    "Безопасный режим с поддержкой командной строки" загружается?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    48
    Нет, грузится только в обычном режиме.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Посмотрите в папке WINDOWS\system32 объем файлов userinit.exe и taskmgr.exe
    и в папке WINDOWS объем файла explorer.exe
    Посмотрите в ERD дату их создания/последнего изменения и сообщите.

    Так же в ERD запустите Autoruns (в меню Start поищите).
    Посмотрите сами, может найдете что-то необычное.
    Если нет, сделайте скриншоты Autoruns, чтобы все видно было и приложите их.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. #10
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    48
    userinit.exe и taskmgr.exe дата создания и изменения - 2004
    explorer.exe создан в 2004 изменен в 2007

    В Autoruns выделила синим то, что показалось странным:
    Достаточно просто удалить этот файл из папки temp?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Да, в Autoruns удалите его (при этом удалится его регистрация в реестре).
    Попробуйте загрузить компьютер.
    Если загрузился, файл заархивируйте с паролем virus и загрузите по красной ссылке вверху темы "Прислать запрошенный карантин".
    Затем файл удалите.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  13. #12
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    48
    Спасибо, вы меня спасли! Все заработало!

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    48
    Цитата Сообщение от thyrex Посмотреть сообщение
    Вот

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - удалите в MBAM
    Код:
    Заражённые ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\администратор\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
    c:\documents and settings\администратор\local settings\temp\0.44077010227254065.exe (Trojan.Dropper) -> No action taken.
    c:\documents and settings\администратор\local settings\temp\0.3911618619120838.exe (Trojan.Dropper) -> No action taken.
    - Сделайте повторный лог MBAM

  17. #16
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    9
    Вес репутации
    48
    Посмотрите, пожалуйста, все ли теперь в порядке?
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    подозрительного нет

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \\0.5597615283246951.exe - Trojan-Ransom.Win32.Gimemo.alw ( DrWEB: Trojan.Winlock.3090, BitDefender: Trojan.Generic.KDV.202755, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Trata, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Блокер
      От Раян в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.07.2011, 14:06
    2. sms блокер
      От beh01der в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.06.2011, 15:35
    3. Смс - блокер
      От Nice_guy в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.01.2011, 20:49
    4. sms-блокер
      От oleg4er в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.02.2010, 00:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00728 seconds with 20 queries