Показано с 1 по 11 из 11.

Очень "вредный" WinLock. (заявка № 105899)

  1. #1
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    31

    Exclamation Очень "вредный" WinLock.

    Здравствуйте!

    Мой знакомый на днях поймал себе на ноутбук некоего WinLock'а, который просит 500 рублей на номер 89117062506. Ни один из кодов активации, найденный мной на просторах инета не подошёл (kaspersky deblocker, dr.web deblock, nod32 и пара других, не помню уже каких, сайтов). Никакие волшебные комбинации вызвать тот же диспетчер не помогают. Но лазейку всё-же нашёл. Через установку нового принтера получается выйти в проводник, но здесь беда - баннер продолжает висеть, загораживая всё вокруг. Небольшое место по краям, для ориентирования остаётся. Файлы запускать можно. Пытался запустить AVZ, чтобы сделать логи, он, видимо, запускается, но висит под баннером. В безопасном режиме баннер тоже себя проявляет. Не знаю, что делать. LiveCD нет, к сожалению. Может как-нибудь стандартными способами?

    С уважением.
    Последний раз редактировалось cZ3r; 17.07.2011 в 19:42.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    31
    Запустил AVZ с режимами защиты (AM=Y AG=Y) через консоль. Сделал восстановление системы, полную проверку. Сам по себе появился десктоп. Запускаю AVZ повторно, при попытке собрать логи утилитой AVZ, она закрывается. Удалось сделать лог HiJackThis.
    Вложения Вложения

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Здравствуйте.
    Попробуйте так:
    1. Скачайте такой AVZ.
    2. Переименуйте его и попытайтесь запустить.
    3. Если не выйдет, создайте ярлык к AVZ (нажатие правой клавишей мыши по иконке AVZ->Создать ярлык (Create Shortcut)). Откройте свойства ярлыка, в поле "Объект" (Target) припишите к исходному значению строку:
    AM=Y AG=Y
    Попытайтесь запустить AVZ.

  5. #4
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    31
    С большим трудом удалось сделать 1 лог + полную проверку с virusinfo_cure.zip, который я загрузил по кнопке "Прислать запрошенный карантин".
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,568
    Вес репутации
    739
    C:\WINDOWS.0\system32\userinit.exe замените с аналогичной системы.
    Сделайте лог полного сканирования MBAM
    Paula rhei.
    Поддержать проект можно тут

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    31
    Завершаю процесс userinit.exe, кладу туда "чистый", через несколько минут снова появляется баннер.
    Дальше: глянул список процессов, в них появился 22СС6С32.exe, при завершении которого баннер снова исчез. Но есть ещё одна беда, она осталась - после запуска любого приложения - оно закрывается. И так каждые ~3 минуты. Т.е. никак не могу сделать лог MBAM.

    Update: Удалось запустить, делаю лог MBAM.
    Последний раз редактировалось cZ3r; 21.07.2011 в 14:15.

  9. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,247
    Вес репутации
    3015
    Заменять нужно с LiveCD
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #8
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    31
    Заменил. Прикрепляю лог.
    Вложения Вложения
    Последний раз редактировалось cZ3r; 21.07.2011 в 15:37.

  11. #9
    Junior Member Репутация
    Регистрация
    05.08.2009
    Сообщений
    23
    Вес репутации
    31
    Всё, сам всё долечил. Спасибо всем, кто откликнулся!

  12. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,568
    Вес репутации
    739
    Вот это в mbam нужно удалить:

    Код:
    Зараженные папки:
    c:\WINDOWS.0\system32\0F6226 (Worm.AutoRun) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC (Worm.AutoRun) -> No action taken.
    c:\WINDOWS.0\system32\76682F (Worm.AutoRun) -> No action taken.
    c:\WINDOWS.0\system32\ACF7EF (Worm.AutoRun) -> No action taken.
    
    Зараженные файлы:
    c:\Users\Admin\application data\netprotdrvss.exe (Backdoor.Bot) -> No action taken.
    c:\Users\Admin\application data\netprotocol.exe (Backdoor.Bot) -> No action taken.
    c:\Users\localservice\application data\microsoft\fuhozyhon.exe (Trojan.LVBP) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\cnvpe.fne (Worm.Autorun) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\dp1.fne (Worm.Autorun) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\eAPI.fne (Worm.Autorun) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\HtmlView.fne (HackTool.Patcher) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\internet.fne (HackTool.Patcher) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\krnln.fnr (Trojan.Agent) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\RegEx.fnr (Worm.AutoRun) -> No action taken.
    c:\documents and settings\Admin\application data\netprotocol.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\aegvvp.exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS.0\system32\5A8DCC\spec.fne (Worm.AutoRun) -> No action taken.
    Paula rhei.
    Поддержать проект можно тут

  13. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) cZ3r, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Winlock "Online Antivirus" и те, кто менее заметны
      От groob в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 26.02.2010, 19:16
    3. Trojan.Winlock.97? "отправьте смс на номер 8353"
      От lightlymind в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.02.2010, 23:27
    4. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01011 seconds with 17 queries