-
Junior Member
- Вес репутации
- 53
Компьютер заблокирован, баннер вымогатель
При загрузке компьютера после входа в систему появляется синий баннер с просьбой пополнить счет МТС 89897520762 через терминал и ввести якобы код с чека.
В безопасном режиме тоже самое. Сканировал CureIT до перезагрузки - пусто. AVZ с LiveCD - тоже ничего. Теперь с LiveCD не грузит (похоже диск поврежден). Жду вашей помощи.
Через Win+U удалось открыть проводник и панель управления (за баннером был черный экран). Баннер всегда поверх окон, но можно что-то рассмотреть по краям.
Последний раз редактировалось Volgarik; 07.06.2011 в 21:56.
Причина: дополнил
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Volgarik, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 53
Ура! Удалось побороть заразу правкой реестра по этой инструкции - 6 способ. Путь к explorer.exe был заменен на C:\ProgramData\22CC6C32.exe (файл специально пока не удаляю, найдет ли его лечащая утилита?)
Сейчас делаю логи AVZ и HiJackThis.
Последний раз редактировалось Volgarik; 07.06.2011 в 23:22.
-
Junior Member
- Вес репутации
- 53
Прикрепляю логи, жду дальнейших инструкций.
-
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
-Восстановление системы
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\users\Администратор\appdata\roaming\netprotdrvss.exe');
TerminateProcessByName('c:\users\Администратор\appdata\roaming\netprotocol.exe');
QuarantineFile('C:\Windows\system32\conime32.exe','');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\netprotocol.exe','');
QuarantineFile('c:\users\Администратор\appdata\roaming\netprotdrvss.exe','');
DeleteFile('c:\users\Администратор\appdata\roaming\netprotdrvss.exe');
DeleteFile('C:\Users\Администратор\AppData\Roaming\netprotocol.exe');
DeleteFile('C:\Windows\system32\conime32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Test System Key');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\администратор\\appdata\\roaming\\netpro tdrvss.exe - Worm.Win32.WBNA.aop ( DrWEB: Trojan.DownLoader3.18071, BitDefender: Trojan.Generic.6203144, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:VB-UUY [Trj] )
- c:\\users\\администратор\\appdata\\roaming\\netpro tocol.exe - Worm.Win32.WBNA.aop ( DrWEB: Trojan.DownLoader3.18071, BitDefender: Trojan.Generic.6203144, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:VB-UUY [Trj] )
- c:\\windows\\system32\\conime32.exe - Hoax.Win32.FlashApp.ekc ( DrWEB: Trojan.PWS.Siggen.20160, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:Crypt-LJM [Trj] )
-