Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Вирус-вымогатель, компьютер заблокирован, пришлите смс... (заявка № 108052)

  1. #1
    Junior Member Репутация
    Регистрация
    14.11.2009
    Сообщений
    23
    Вес репутации
    53

    Thumbs up Вирус-вымогатель, компьютер заблокирован, пришлите смс...

    Вчера на рабочем столе выскочил вот такой баннер: Компьютер заблокирован! Ваш компьютер заблокирован за просмотр копирование и распространение материалов и т.д и т.п в общем требует отправить смс на номер для разблокирования компьютера.

    В safe-mode загрузиться могу, но баннер появляется и там.

    Компьютер проверил с помощью загрузочного CD DrWeb, безрезультатно.

    Загрузил Kaspersky Registry Edutor, как этой теме. Значения параметров:
    ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр userinit = C:\Windows\system32\userinit.exe
    параметр shell = Explorer.exe.

    Что делать дальше?
    Спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) sergglav, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Удалите все в этих папках
    Код:
    C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5
    C:\Documents and Settings\Имя_Пользователя\Local Settings\Temporary Internet Files\Content.IE5
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5
    Затем пробуйте загрузится и сделать логи

  5. #4
    Junior Member Репутация
    Регистрация
    14.11.2009
    Сообщений
    23
    Вес репутации
    53
    Все удалил, загрузился - тот же баннер.
    Вирус на месте.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Попробуем такой вариант:
    -загружаемся в безопасный режим с поддержкой командной строки;
    -вводим Explorer.exe, подтверждаем;
    -делаем лог АВЗ (2-й стандартный)

  7. #6
    Junior Member Репутация
    Регистрация
    14.11.2009
    Сообщений
    23
    Вес репутации
    53
    Не выходит. Симптомы: выбираю пункт "Безопасный режим с поддержкой командной строки", через некоторое время попадаю на экран приветствия Windows (да, забыл написать - WindowsXP SP2), выбор пользователя (у меня их два, с Администратором - три). Выбираю любой - попадаю на баннер вируса.

    Я малопродвинутый пользователь, с этим подрежимом safe-mode никогда не работал. Попробовал загрузить такой на чистом компьютере (c WindowsXP SP3) - попал на тот же экран выбора пользователей. Где там должна быть командная строка?

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    "Безопасный режим с поддержкой командной строки"--http://comp-profi.com/view_post.php?id=74
    Далее вводим Explorer.exe, подтверждаем, делаем лог АВЗ (2-й стандартный)

  9. #8
    Junior Member Репутация
    Регистрация
    14.11.2009
    Сообщений
    23
    Вес репутации
    53
    У меня этот режим не работает. На обоих компьютерах. Возможно, такая винда...
    Окно с командным приглашением не появляется даже на здоровой машине. На больной - попадаю на баннер вируса.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Попробуйте этот вариант--http://support.kaspersky.ru/viruses/deblocker
    Введите номер телефона, на который необходимо отправить смс

    Еще вариант--http://www.drweb.com/unlocker/index/?lng=ru

  11. #10
    Junior Member Репутация
    Регистрация
    14.11.2009
    Сообщений
    23
    Вес репутации
    53
    Ответ:
    Блокер не предполагает кодов разблокировки, или коды еще не найдены. Воспользуйтесь Kaspersky WindowsUnlocker

    Добавлено через 14 секунд

    Воспользоваться?
    Последний раз редактировалось sergglav; 29.08.2011 в 21:50. Причина: Добавлено

  12. #11

  13. Это понравилось:


  14. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Если Windows Unlocker также не поможет

    Цитата Сообщение от sergglav Посмотреть сообщение
    Загрузил Kaspersky Registry Edutor, как этой теме. Значения параметров:
    С помощью этой программы посмотрите все возможные ключи Run в ветках реестра HKEY_LOCAL_MACHINE и HKEY_USERS на наличие неизвестных программ в автозапуске
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. Это понравилось:


  16. #13
    Junior Member Репутация
    Регистрация
    14.11.2009
    Сообщений
    23
    Вес репутации
    53
    Уважаемый tyrex,
    это я еще раньше сделал. Осталось только то, что давно "знаю в лицо".
    Утилита не помогла. Сообщила, что shell и userinit ok, что удален некий suspicious debugger of userinit, я порадовался. Виндовс загрузилась нормально, я опять порадовался. Но секунд через 20-30 баннер вылез опять - самовозродился.


    Интересно, что может иметься в виду под дебаггером для userinit.exe?
    Последний раз редактировалось sergglav; 29.08.2011 в 22:59. Причина: Ох, неохота Windows переустанавливать.

  17. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от sergglav Посмотреть сообщение
    что удален некий suspicious debugger of userinit,
    А вот и ответ где искать

    Проверьте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    В ней должна быть папка userinit.exe с параметром debug. Значение параметра и есть файл вируса
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. Это понравилось:


  19. #15
    Junior Member Репутация
    Регистрация
    14.11.2009
    Сообщений
    23
    Вес репутации
    53
    Кажется, есть. Убил файл todo.exe в папке /WINDOWS/TEMP. Реестр почистил.
    Компьютер нормально работает в safe-mode.
    Выполнил скрипт 2 AVZ, высылаю лог.
    Вложения Вложения

  20. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Отключите восстановление системы!

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\pdollvl.dll','');
     DeleteFile('C:\WINDOWS\system32\pdollvl.dll');
    BC_ImportAll;
    ExecuteSysClean;
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', '20000');
     RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Затем следующий
    Код:
    var
    i : integer;
    KeyList : TStringList;                      
    begin
    KeyList := TStringList.Create;
    RegKeyEnumKey('HKLM','SYSTEM', KeyList);
    for i := 0 to KeyList.Count-1 do
    if pos('controlset', LowerCase(KeyList[i])) > 0 then
     begin
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    KeyList.Free;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  21. Это понравилось:


  22. #17
    Junior Member Репутация
    Регистрация
    14.11.2009
    Сообщений
    23
    Вес репутации
    53
    Сделал.
    Карантин тоже.
    Вложения Вложения

  23. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Установите Acrobat Reader 10 или удалите старый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  24. #19
    Junior Member Репутация
    Регистрация
    14.11.2009
    Сообщений
    23
    Вес репутации
    53
    ok(
    а логи как?

  25. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Плохого не видно

    На всякий случай сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  26. Это понравилось:


  • Уважаемый(ая) sergglav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Компьютер заблокирован, баннер вымогатель
      От Volgarik в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.06.2011, 23:43
    2. Заблокирован компьютер. Вирус требует отправки sms
      От Цель Алена в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.02.2010, 00:20
    3. Ответов: 4
      Последнее сообщение: 08.01.2010, 21:35
    4. Windowы заблокирован пришлите смс
      От never в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.05.2009, 08:05
    5. Windows заблокирован. Пришлите смс...
      От BigBro в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.04.2009, 23:56

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01433 seconds with 20 queries