Добрый день,
На Win XP 64 bit завелся windows locker, хочет SMS. Компьютер проверен последней версией CureIt в safe mode - результата не принесло.
Прошу помочь с лечением. Логи во вложении.
Заранее спасибо!
Добрый день,
На Win XP 64 bit завелся windows locker, хочет SMS. Компьютер проверен последней версией CureIt в safe mode - результата не принесло.
Прошу помочь с лечением. Логи во вложении.
Заранее спасибо!
Уважаемый(ая) p777, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В обычном режиме компьютер не грузится?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Грузится, но после загрузки декстопа (например, видно, что Avira начинает актуализироваться) все лочится и остается активным только окошко с вымоганием СМС.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал, в аттаче.
Сфортографируйте окно блокировщика и прикрепите картинку к сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал, в аттаче.
I этап (выполняется на чистой от вирусов машине)
1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Registry Editor (около 120 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости
II этап (выполняется на заблокированной машине)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
– установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
– выберите Kaspersky Registry Editor
3. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении
Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run в отдельные файлы, заархивируйте и прикрепите к сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit: (Тип)REG_SZ (Значение) C:\WINDOWS\system32\userinit.exe,
параметр shell: (Тип)REG_SZ (Значение) Explorer.exe
Экспорт веток реестра сделал - для машины и для 2х юзеров - Administrator и Лида.
--
Обратил внимание, что у юзера Лида запускалось такое:
C:\\DOCUME~1\\CC74~1\\LOCALS~1\\Temp\\____991.exe
Нашел этот ____991.exe - переименовал, перезагрузился - комп работает, блокировщик себя не проявил.
Достаточно будет теперь этот файл просто грохнуть, или нужно найти еще что-то, с ним связанное?
Спасибо, что уделяете время моему случаю.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Запакованный файл с паролем virus загрузил.
После того, как в учетной записи удалил запуск файла 991.exe, снова оно там не появляется.
Спасибо, что помогли мне. Пошел поддерживать проект.
Последний раз редактировалось p777; 31.01.2012 в 16:08. Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\virus\\virus\\____990.exe - Trojan-Ransom.Win32.Gimemo.hhp ( DrWEB: Trojan.Winlock.5339, BitDefender: Gen:Trojan.Heur.Zbot.6, NOD32: Win32/LockScreen.AJN trojan, AVAST4: Win32:MalOb-JJ [Cryp] )
Уважаемый(ая) p777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.