Показано с 1 по 12 из 12.

Не получается убрать Баннер (заявка № 108608)

  1. #1
    Junior Member Репутация
    Регистрация
    10.09.2011
    Сообщений
    8
    Вес репутации
    23

    Thumbs up Не получается убрать Баннер

    Здравствуйте.
    У меня лицензионная 64-битная Windows 7 домашняя расширенная на ноутбуке Aser. Вчера утром появился баннер-вымогатель, полностю блокирующий систему. Доступен только безопасный режим.
    Номера телефона мошенников меняются периодически - 9643859010 или 9633411345. в Online сервисах DrWeb и Касперского кодов на эти номера нет. Пытался исправить все по рекомендации с сайта
    http://www.notebook.pc812.ru/novosti...-bannerov.html - ничего не помогло. Скачал свежую утилиту Dr.Web CureIt!
    Запустил из безопасного режима полную проверку, результата нет. Также из безопасного режима редктировал реестр - HLKMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon :
    Userinit - C:WINDOWSsystem32userinit.exe
    Shell - Explorer.exe
    Ветка рееста заблокирована от изменений. Ничего не помогло. Прошу помочь, логи во вложениях сделаны из безопасного режима на зараженном ноутбуке.
    Последний раз редактировалось Pillat; 10.09.2011 в 18:25.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) Pillat, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    I этап (выполняется на чистой от вирусов машине)

    1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Registry Editor (около 120 Мбайт)
    2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

    II этап (выполняется на заблокированной машине)

    1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
    2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
    – когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
    – выберите необходимый язык из списка
    – выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
    – установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
    – выберите Kaspersky Registry Editor
    3. Откроется редактор реестра
    – выберите нужную систему (та, которая заблокирована), если у Вас их несколько
    – посмотрите в реестре:
    ветки HKEY_LOCAL_MACHINE и HKEY_USERS
    Проверьте все возможные параметры Run, имеющиеся в этих ветках, на наличие неизвестных программ для запуска
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    10.09.2011
    Сообщений
    8
    Вес репутации
    23
    Запустил Редактор реестра из командной строки в безопасном режиме - проверил указанные ветки - ничего подозрительного не нашел
    Аналогично загрузил KRE_1.0.4.beta (с болваники) прошел поиском по параметру Run в реестре
    Баннер продолжает загружаться при запуске
    Последний раз редактировалось Pillat; 10.09.2011 в 19:29.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Цитата Сообщение от Pillat Посмотреть сообщение
    Запустил Редактор реестра из командной строки в безопасном режиме
    Проверяли поиском в реестре по имени раздела Run?
    AVZ можете запустить из командной строки в безопасном режиме? Если да, тогда приступайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    10.09.2011
    Сообщений
    8
    Вес репутации
    23
    AVZ запускал уже, сначала файл-восстановление системы не помогло, затем сканирование - выполнить лечение тоже без результата
    Нашел только это:
    "7. Эвристичеcкая проверка системы
    >>> C:\Windows\system32\Drivers\system32.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
    Файл успешно помещен в карантин (C:\Windows\system32\Drivers\system32.exe)
    >>> C:\Windows\System32\drivers\System32.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Autorun) (высокая степень вероятности)
    Проверка завершена"

    Run проверял и по разделам и по параметрам, очень много ключей - разобраться трудно, но вроде все штатно постороннего не заметил
    Последний раз редактировалось Pillat; 10.09.2011 в 20:22.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    попробуйте выполнитьтакой скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\Windows\System32\drivers\System32.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  9. Это понравилось:


  10. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Если скрипт не получится выполнить, тогда выполните такой:
    Код:
    begin
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\System32\drivers\System32.exe','');
     DeleteFile('C:\Windows\System32\drivers\System32.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.

  11. Это понравилось:


  12. #9
    Junior Member Репутация
    Регистрация
    10.09.2011
    Сообщений
    8
    Вес репутации
    23
    После выполнения скрипта и перезагрузки баннер пропал. Правда слетела активация лицензинная Windows, но кажется это мои косяки в реестре. Буду восстанавливать.
    Прикрепленные файлы сделаны уже в штатном режиме Windows 7.
    Огромное спасибо за помощь!

    P.S. Возможно это уже другой запрос, но в лог файле много маскирующихся процессов:
    " >> Опасно ! Обнаружена маскировка процессов
    >>>> Обнаружена маскировка процесса 4 System.exe
    >>>> Обнаружена маскировка процесса 360 smss.exe
    >>>> Обнаружена маскировка процесса 500 csrss.exe
    >>>> Обнаружена маскировка процесса 588 C:\Windows\system32\wininit.exe
    >>>> Обнаружена маскировка процесса 624 csrss.exe
    >>>> Обнаружена маскировка процесса 648 services.exe... и т.д."
    Вопрос: это сильно опасно и если да, то как это исправить??
    во всяком случае запускаю проверку AVZ на ночь

    Еще раз большое спасибо
    Вложения Вложения

  13. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    В логах ничего необычного. На маскировки внимание не обращайте. Для Вашей системы - это нормальная реакция AVZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. Это понравилось:


  15. #11
    Junior Member Репутация
    Регистрация
    10.09.2011
    Сообщений
    8
    Вес репутации
    23
    Спасибо за помощь и консультацию

  16. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\ni\\doctorweb\\quarantine\\mpr.exe.bak - not-a-virus:PSWTool.Win32.MPR.heur ( DrWEB: Trojan.PWS.Siggen.22542 )
      2. c:\\users\\ni\\doctorweb\\quarantine\\mpr.exe.bak - not-a-virus:PSWTool.Win32.MPR.heur ( DrWEB: Trojan.PWS.Siggen.22542 )
      3. c:\\windows\\system32\\drivers\\system32.exe - Trojan-Ransom.Win32.PornoBlocker.acdh ( DrWEB: Trojan.Winlock.4149, BitDefender: Trojan.Generic.6647077, NOD32: Win32/Delf.QAI trojan, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Pillat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 21.04.2012, 09:15
    2. Баннер, как убрать?
      От ksuhaa в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 15.06.2011, 21:14
    3. Баннер на рабочем столе. Не получается ликвидировать (заявка №19556)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 20.05.2010, 23:00
    4. Баннер не убрать.
      От terba07 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.01.2010, 21:44
    5. Как убрать баннер
      От knv55 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.11.2009, 00:10

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01198 seconds with 17 queries