Компьютер заблокирован, баннер вымогатель
При загрузке компьютера после входа в систему появляется синий баннер с просьбой пополнить счет МТС 89897520762 через терминал и ввести якобы код с чека.
В безопасном режиме тоже самое. Сканировал CureIT до перезагрузки - пусто. AVZ с LiveCD - тоже ничего. Теперь с LiveCD не грузит (похоже диск поврежден). Жду вашей помощи.
Через Win+U удалось открыть проводник и панель управления (за баннером был черный экран). Баннер всегда поверх окон, но можно что-то рассмотреть по краям.
Последний раз редактировалось Volgarik; 07.06.2011 в 21:56. Причина: дополнил
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Volgarik, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ура! Удалось побороть заразу правкой реестра по этой инструкции - 6 способ. Путь к explorer.exe был заменен на C:\ProgramData\22CC6C32.exe (файл специально пока не удаляю, найдет ли его лечащая утилита?)
Сейчас делаю логи AVZ и HiJackThis.
Последний раз редактировалось Volgarik; 07.06.2011 в 23:22.
Прикрепляю логи, жду дальнейших инструкций.
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
-Восстановление системы
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\users\Администратор\appdata\roaming\netprotdrvss.exe'); TerminateProcessByName('c:\users\Администратор\appdata\roaming\netprotocol.exe'); QuarantineFile('C:\Windows\system32\conime32.exe',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\netprotocol.exe',''); QuarantineFile('c:\users\Администратор\appdata\roaming\netprotdrvss.exe',''); DeleteFile('c:\users\Администратор\appdata\roaming\netprotdrvss.exe'); DeleteFile('C:\Users\Администратор\AppData\Roaming\netprotocol.exe'); DeleteFile('C:\Windows\system32\conime32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Test System Key'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\администратор\\appdata\\roaming\\netpro tdrvss.exe - Worm.Win32.WBNA.aop ( DrWEB: Trojan.DownLoader3.18071, BitDefender: Trojan.Generic.6203144, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:VB-UUY [Trj] )
- c:\\users\\администратор\\appdata\\roaming\\netpro tocol.exe - Worm.Win32.WBNA.aop ( DrWEB: Trojan.DownLoader3.18071, BitDefender: Trojan.Generic.6203144, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:VB-UUY [Trj] )
- c:\\windows\\system32\\conime32.exe - Hoax.Win32.FlashApp.ekc ( DrWEB: Trojan.PWS.Siggen.20160, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:Crypt-LJM [Trj] )
Уважаемый(ая) Volgarik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
