Показано с 1 по 12 из 12.

Баннер блокирующий работу компьютера (заявка № 106333)

  1. #1
    Junior Member Репутация
    Регистрация
    26.11.2009
    Сообщений
    18
    Вес репутации
    30

    Thumbs up Баннер блокирующий работу компьютера

    Здраствуйте, появился баннер требующий отправить деньги на WebMoney счет. Он полностью блокирует работу компьютера и в обычном и безопасном режиме. Читал совет написанный в этой теме - http://virusinfo.info/showthread.php?t=106142
    Значения параметров shell и userinit у меня вот такие:
    shell Explorer.exe
    Userinit C:\WINDOWS\userinit.exe,
    Что мне делать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    В биосе пробовали менять системную дату?
    Paula rhei.
    Поддержать проект можно тут

  4. #3
    Junior Member Репутация
    Регистрация
    26.11.2009
    Сообщений
    18
    Вес репутации
    30
    Смена даты не помогла.
    С помощью LiveCD заменил файл userinit.exe (который "весил" 407Кб) файлом с работающего компьютера ("вес" 26 КБ). Теперь запускается и работает все нормально, но во время загрузки выскакивает какое-то окошко с кнопкой "ок". Отношения к системе он явно не имеет - видимо остатки этой гадости. Помогите ее добить, логи прилагаются.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    + в дополнение Сделайте лог полного сканирования MBAM
    Paula rhei.
    Поддержать проект можно тут

  6. #5
    Junior Member Репутация
    Регистрация
    26.11.2009
    Сообщений
    18
    Вес репутации
    30
    Сделал
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    В AVZ выполните скрипт:

    Код:
    begin
    searchrootkit(true,true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\WINDOWS\userinit.exe','');
     QuarantineFile('c:\documents and settings\pg_b\application data\netprotdrvss.exe','');
     QuarantineFile('c:\documents and settings\pg_b\application data\netprotocol.exe','');
     QuarantineFile('c:\documents and settings\pg_b\local settings\temporary internet files\content.ie5\lmx33vkq\netprotocol[2].exe','');
     QuarantineFile('c:\documents and settings\pg_b\local settings\temporary internet files\content.ie5\lmx33vkq\game[1].exe','');
     DeleteFile('c:\WINDOWS\userinit.exe');
     DeleteFile('c:\documents and settings\pg_b\application data\netprotdrvss.exe');
     DeleteFile('c:\documents and settings\pg_b\application data\netprotocol.exe');
     DeleteFile('c:\documents and settings\pg_b\local settings\temporary internet files\content.ie5\lmx33vkq\netprotocol[2].exe');
     DeleteFile('c:\documents and settings\pg_b\local settings\temporary internet files\content.ie5\lmx33vkq\game[1].exe');
     DeleteFile('c:\program files\common files\keylog.txt');
     DeleteFile('c:\WINDOWS\system32\lowsec\user.ds');
     DeleteFile('c:\WINDOWS\system32\lowsec\local.ds');
    BC_ImportAll;
    ExecuteSysClean;
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    ExecuteWizard('TSW',2,2,true);
    ExecuteWizard('SCU',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

    В mbam удалите:

    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{1094613F-84B6-4131-AEC1-71DF88291044} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\TypeLib\{3A596471-ECBE-4AEE-B543-79AE8C8FF7A9} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{047D87FD-BFC5-4AC3-9AD3-ACECC7B49016} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1094613F-84B6-4131-AEC1-71DF88291044} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{8E569E70-9E91-4CF9-820C-99DDC3A05A0C} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{8E569E70-9E91-4CF9-820C-99DDC3A05A0C} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{BEFC54BA-36EB-4CFC-BA55-587361577A26} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} (Spyware.Bividon) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
    HKEY_CLASSES_ROOT\xvideoplugin.JetMimeFiltr (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\xvideoplugin.JetMimeFiltr.1 (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\xvideoplugin.JetVideoPlugin (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\xvideoplugin.JetVideoPlugin.1 (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\AppID\pllib.DLL (Trojan.BHO) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Heuristics.Reserved.Word.Exploit) -> Bad: (C:\WINDOWS\userinit.exe) Good: () -> No action taken.
    Зараженные папки:
    c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.
    c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    Лог mbam повторите..
    Paula rhei.
    Поддержать проект можно тут

  8. #7
    Junior Member Репутация
    Регистрация
    26.11.2009
    Сообщений
    18
    Вес репутации
    30
    Закачал карантин:
    Результат загрузки
    Файл сохранён как 110726_195854_quarantine_4e2f1c7e28ff2.zip
    Размер файла 3112
    MD5 299374a2eb7e1e24b3d991135c1a649d
    Вложения Вложения

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Что с проблемами?
    Paula rhei.
    Поддержать проект можно тут

  10. #9
    Junior Member Репутация
    Регистрация
    26.11.2009
    Сообщений
    18
    Вес репутации
    30
    Окошко с непонятными символами перед загрузкой Windows все равно выскакивает.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true); 
    end.
    Компьютер перезагрузится.
    Должно помочь.
    I am not young enough to know everything...

  12. Это понравилось:


  13. #11
    Junior Member Репутация
    Регистрация
    26.11.2009
    Сообщений
    18
    Вес репутации
    30
    Помогло, спасибо.

  14. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) piligrim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус, блокирующий работу браузеров
      От ArsEkimov в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.10.2011, 18:12
    2. Баннер на рабочем столе блокирует работу компьютера (заявка №107918)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 25.08.2011, 23:01
    3. Баннер на рабочем столе блокирует работу компьютера (заявка №107918)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 0
      Последнее сообщение: 25.08.2011, 20:00
    4. Вирус, блокирующий работу браузеров
      От Serzhik_ в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.06.2011, 22:29
    5. Ответов: 3
      Последнее сообщение: 27.06.2011, 20:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00426 seconds with 17 queries