-
Junior Member
- Вес репутации
- 48
Windows заблокирована, отправьте СМС
Прицепился вот такой вирус ( ОС Windows Vista.
Удалось зайти в безопасный режим с командной строкой.
Запустила Avast, он нашел какой-то файл .exe с длинным названием в папке Temp, обозначил как угроза высокой степени, вирус Win32:Kryptik.CAC. Выбрала "Удалить", но при перезагрузке в обычном режиме всё то же самое - Windows заблокирована, отправьте СМС. К слову, номер для смс каждый раз разный, на сайте drweb нашла подходящий скриншот, но код разблокировки не подошел, попробовала пару других кодов - тоже не подошли.
В реестре в параметре Userinit было всё нормально, а в параметре Shell был путь к файлу 123.exe в папке Temp. Папку эту я на диске С не нашла, не знаю как ее открыть и не могу переключить раскладку, чтобы прописать вручную эту директорию в проводнике (в командной строке и редакторе реестра раскладка переключается как обычно Alt+Shift). Нашла в реестре запись с этим 123.exe, удалила ее - не помогло, при перезагрузке всё то же самое.
Скачала на флешку DrWeb CureIt, AVZ и Kaspersky Virus Removal Tool. Пока успела запустить только CureIt, он запустился в режиме усиленной защиты - и на этом всё застопорилось, делать ничего не возможно, уже 4 часа экран мигает, периодически удается разглядеть сообщение о том, что найдено 3 вируса. Не знаю, есть ли смысл ждать, пока закончится это мигание (если оно когда-нибудь закончится), или лучше всё вырубить и пробовать другие способы? В общем, нужна ваша помощь.
UPD: "Отвисло" само, нашла лог CureIt - там куча вирусных записей в AppData\Local\Temp. Что делать-то теперь с этим?
Последний раз редактировалось Ellina; 12.05.2011 в 07:40.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Ellina
Удалось зайти в безопасный режим с командной строкой.
В командной строке наберите
explorer.exe
Далее, запускайте AVZ и делайте логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Честно признаюсь, немного позанималась самодеятельностью, а именно: в безопасном режиме запустила msconfig и нашла там в Автозагрузках интересную вещь. Элемент с названием "price" от издателя "links", путь к которому - все та же папка Temp, файл 123.exe
Он был отмечен галкой, галку сняла, в реестре поправила параметр Shell (убрала оттуда путь к 123.exe), перезагрузилась в обычном режиме - окно с сообщением о блокировке исчезло! Удалось прописать путь к папке Temp (в безопасном режиме не переключалась раскладка), зашла в эту папку, прибила 123.exe
Снова перезагрузилась в обычном режиме, окно с сообщением о блокировке и на этот раз больше не появлялось. Но в msconfig в Автозагрузках есть элемент Shell, издатель которого якобы не известен, а путь указан к теперь уже удаленному 123.exe. Элемент Shell галкой не отмечен, он просто там есть и всё, в реестр по прописанному там пути (HKLM\Windows\CurrentVersion\Run) сходила - ничего нет (ни параметра Shell, ни путей, ведущих к 123.exe).
Теперь выкладываю логи AVZ и Hijack, сделанные уже после моих вышеописанных действий.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Bratez, спасибо!
Элемент Shell с путем к файлу 123.exe в Автозагрузках исчез после прогона VitRegistry Fix.