-
Junior Member
- Вес репутации
- 48
Блокировка компьютера в любом режиме
Пишу с телефона, т.к. сейчас доступа к другому компьютеру нет. Баннер, с требованием уплатить штраф через терминал, занимает большую часть окна, больше ни чего нет (ни меню пуск, не панели задач... ни чего). Курсор активен в пределах всего экрана, но на нажатия кнопок мыши и любых клавиш на клавиатуре ни какой реакции.
При входе в безопасном режиме, в безопасном режиме с поддержкой командной строки, под другим пользователем все тоже самое. Соответственно, ни просканировать, ни выслать логи не могу.
Установлена XP SP3.
Посоветуйте, с чего начать и как это побороть.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) erikra, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
1. Скачайте образ ERD Commander 2005, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Значения этих параметров напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Значения этих параметров такие:
Userinit:
C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\9895f0e6.exe, C:\WINDOWS\system32\leiwvz.exe.
Shell:
C:\Documents and Sittings\All Users\Application Data\22CC6C32.exe
Как действовать далее?
-
1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с системы, аналогичной заблокированной)
2. Загрузиться с Live CD
3. удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache),
4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
5. Исправляете параметры: shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe,).
Пробуете стартовать в проблемной системе
Если удачно, то
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Система загрузилась, после чего NOD32 сразу нашел и удалил 6 троянов.
Лог полного сканирования МВАМ прилагаю:
Вложение 314361
Каков диагноз и что делать дальше?
-
Удалили много безобидного
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Сначала хотел бы сказать Вам огромное спасибо. Все работает, последствий лечения пока не заметил. Рекомендовал Ваш ресурс другу ( у него похожая проблема).
А что до:
Удалили много безобидного
Так это «шаловливые ручки» виноваты. Не на ту кнопку нажал. А так как удалять, что бы то ни было, без совета «хелперов», не рекомендовалось, взял еще и восстановил все из карантина. Но часть файлов, все таки, удалилась окончательно. В общем… со всех сторон «напортачил»… Поэтому сделал еще одно сканирование МВАМ (на этот раз ни чего не удаляя), лог которого прилагаю.
Вложение 314693
Посмотрите, пожалуйста, может что то из «заразы» еще осталось.
-
Можно удалить
Код:
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085941.exe (Trojan.Glox) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085917.exe (RiskWare.Tool.HCK) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085922.exe (Trojan.Backdoor) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085923.exe (Trojan.Backdoor) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085924.exe (Trojan.Backdoor) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085925.exe (Trojan.Backdoor) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085927.exe (Trojan.Backdoor) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085931.exe (Trojan.Backdoor) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085933.exe (Trojan.Backdoor) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085936.exe (Trojan.Backdoor) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085937.exe (Trojan.Backdoor) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085940.dll (Trojan.FakeAlert) -> No action taken.
c:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP273\A0085942.exe (Trojan.Glox) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086000.exe (Trojan.Backdoor) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086001.exe (Trojan.Bumat) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086002.exe (Trojan.Backdoor) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086003.exe (Trojan.Backdoor) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086004.exe (Trojan.Backdoor) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086005.exe (Trojan.Agent.CK) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086006.exe (Riskware.Tool.CK) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086007.exe (Trojan.Backdoor) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086008.exe (Trojan.Backdoor) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086009.exe (Trojan.Meredrop) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086010.exe (Trojan.Backdoor) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086011.exe (RiskWare.Tool.CK) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086012.exe (RiskWare.Tool.CK) -> No action taken.
d:\system volume information\_restore{c3fc484c-3ef3-4e8e-b8d0-59e4ba46acff}\RP274\A0086013.exe (Trojan.Dropper) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-