Показано с 1 по 12 из 12.

Банер появляется практически сразу после BIOS-строк. (заявка № 102506)

  1. #1
    Junior Member Репутация
    Регистрация
    14.01.2011
    Сообщений
    159
    Вес репутации
    27

    Exclamation Банер появляется практически сразу после BIOS-строк.

    Банер появлялся практически сразу после прохождения BIOS'овских экранов.
    Просит 500 руб. закинуть на номер 89688432653.
    Загрузился в LiveCD-флешки, нашел во временных директориях IE пару exe-файлов и еще на рабочем столе (VIRUS_files\null0.33083272876175385.exe). Все их прилагаю тут в архиве VIRUS_files.zip.

    Отчет Comodo сканировавшего каталог VIRUS_files:
    Packed.Win32.MUPX.Gen@129019204 D:\VIRUS_files\x2z8.exe
    TrojWare.Win32.Trojan.Agent.Gen@195738218 D:\VIRUS_files\readme[1].exe
    В реестре значения Shell и UserInit - не тронуты.
    Сдвинул в BIOS дату на 2 дня вперед и банер перестал появляться.
    Как с ним правильно бороться?
    Последний раз редактировалось Alexey P.; 23.05.2011 в 03:56.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) malor, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,687
    Вес репутации
    3028
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    14.01.2011
    Сообщений
    159
    Вес репутации
    27
    Вы про логи от AVZ и HijackThis?

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Цитата Сообщение от malor Посмотреть сообщение
    Вы про логи от AVZ и HijackThis?
    да

  7. #6
    Junior Member Репутация
    Регистрация
    14.01.2011
    Сообщений
    159
    Вес репутации
    27
    В каком режиме запускать AVZ ? Как SafeMode, так и обычный недоступен (до уборки банера).

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,687
    Вес репутации
    3028
    1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
    2. Пуск - Выполнить - erdregedit
    3. Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    Код:
    userinit
    параметр
    Код:
    shell
    Значения этих параметров напишите в своем сообщении
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    14.01.2011
    Сообщений
    159
    Вес репутации
    27
    Я же упомянул в 1-м своем посте:
    Загрузился в LiveCD-флешки ...
    В реестре значения Shell и UserInit - не тронуты.
    (иначе бы сразу исправил их на стандартные значения)
    Сообщение от пользователя Zodiak:
    ================================================== ==
    у меня была аналогичная проблема ...

    номер вымогателя 89688432651
    Просили 500 руб.

    Полного текста привести не могу.
    Ниже было написано введите код и мигал курсор.

    при редактировании фаила boot.ini на добавление параметра /bootlog
    после очередной перезгрузки до пояления банера.
    При загрузке с лайт CD лог файла ntbtlog.txt в папке windows не было обнаружено. Т.е. программа начинала свою работу после загрузчика.

    Я тупо переименовал файл c:\windows\system32\ntoskrnl.exe в .... \ ntoskrnl.ex1 (на свой страх)

    Загрузка пошла ...
    Банер ушел ... логи записались.
    Но в логах ntbtlog.txt , загрузка шла через ntkrnlpa.exe ...
    Файл ntoskrnl.exe - потом был скопирован на другой системник. Таких проблем не было.

    Итог- новая разновидность вымогателей.
    Точного лечения мной не установлено.

    Началось все с посещения какого то сайта .
    Потом всплыло окошко с предложением что то Установить/обновить (со слов клиента Медиаплеер). он закрыл окно . после комп перезагрузился. и далее уже я столкнулся с этой проблемой.

    Сразу же загрузили ось с диска и пролечили докторвебом, он кое что нашел во временных файлах и файлах интренет темп.
    после удаления заразы и перезагрузке банер остался. Банер написан под DOS.

    С момента появления проблемы и ее исчезновения (не уверен что проблема ушла) прошло менее 24 часов.
    С датами я не игрался.
    Пытался искать файл по тексту из сообщения, или номеру (он кстати меняется) - результатов не дало.
    ===============================================


    Вот походу похожая проблема в соседней ветке:
    Хитрый банер

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,687
    Вес репутации
    3028
    Цитата Сообщение от malor Посмотреть сообщение
    В реестре значения Shell и UserInit - не тронуты.
    Очень многие так думают, а смотрят реестр LiveCD вместо реестра системы. Поэтому ждем значения параметров
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    14.01.2011
    Сообщений
    159
    Вес репутации
    27
    А как тогда я на всех прошлых компах убирал банеры? Правил реестр Windows самой LiveCD-флешки, по-вашему?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    741
    Это Trojan.MBRlock.6
    Работает сутки с момента создания бинаря, можно перевести часы в биос на сутки вперед.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,687
    Вес репутации
    3028
    Также для начала попробуйте код 8750828
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) malor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Банер сразу после загрузки BIOS
      От all4you в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.06.2011, 14:03
    2. Ответов: 4
      Последнее сообщение: 27.01.2011, 17:33
    3. Ответов: 1
      Последнее сообщение: 18.08.2010, 14:00
    4. Ответов: 5
      Последнее сообщение: 14.01.2010, 14:16
    5. Заблокированы практически все антивиры
      От Akimon в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 09:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00821 seconds with 16 queries