Здравствуйте.
У меня лицензионная 64-битная Windows 7 домашняя расширенная на ноутбуке Aser. Вчера утром появился баннер-вымогатель, полностю блокирующий систему. Доступен только безопасный режим.
Номера телефона мошенников меняются периодически - 9643859010 или 9633411345. в Online сервисах DrWeb и Касперского кодов на эти номера нет. Пытался исправить все по рекомендации с сайта http://www.notebook.pc812.ru/novosti...-bannerov.html - ничего не помогло. Скачал свежую утилиту Dr.Web CureIt!
Запустил из безопасного режима полную проверку, результата нет. Также из безопасного режима редктировал реестр - HLKMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon :
Userinit - C:WINDOWSsystem32userinit.exe
Shell - Explorer.exe
Ветка рееста заблокирована от изменений. Ничего не помогло. Прошу помочь, логи во вложениях сделаны из безопасного режима на зараженном ноутбуке.
Последний раз редактировалось Pillat; 10.09.2011 в 19:25.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Registry Editor (около 120 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости
II этап (выполняется на заблокированной машине)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
– установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
– выберите Kaspersky Registry Editor
3. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре: ветки HKEY_LOCAL_MACHINE и HKEY_USERS
Проверьте все возможные параметры Run, имеющиеся в этих ветках, на наличие неизвестных программ для запуска
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Запустил Редактор реестра из командной строки в безопасном режиме - проверил указанные ветки - ничего подозрительного не нашел
Аналогично загрузил KRE_1.0.4.beta (с болваники) прошел поиском по параметру Run в реестре
Баннер продолжает загружаться при запуске
Последний раз редактировалось Pillat; 10.09.2011 в 20:29.
AVZ запускал уже, сначала файл-восстановление системы не помогло, затем сканирование - выполнить лечение тоже без результата
Нашел только это:
"7. Эвристичеcкая проверка системы
>>> C:\Windows\system32\Drivers\system32.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\Windows\system32\Drivers\system32.exe)
>>> C:\Windows\System32\drivers\System32.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Autorun) (высокая степень вероятности)
Проверка завершена"
Run проверял и по разделам и по параметрам, очень много ключей - разобраться трудно, но вроде все штатно постороннего не заметил
Последний раз редактировалось Pillat; 10.09.2011 в 21:22.
После выполнения скрипта и перезагрузки баннер пропал. Правда слетела активация лицензинная Windows, но кажется это мои косяки в реестре. Буду восстанавливать.
Прикрепленные файлы сделаны уже в штатном режиме Windows 7.
Огромное спасибо за помощь!
P.S. Возможно это уже другой запрос, но в лог файле много маскирующихся процессов:
" >> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 4 System.exe
>>>> Обнаружена маскировка процесса 360 smss.exe
>>>> Обнаружена маскировка процесса 500 csrss.exe
>>>> Обнаружена маскировка процесса 588 C:\Windows\system32\wininit.exe
>>>> Обнаружена маскировка процесса 624 csrss.exe
>>>> Обнаружена маскировка процесса 648 services.exe... и т.д."
Вопрос: это сильно опасно и если да, то как это исправить??
во всяком случае запускаю проверку AVZ на ночь
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: