Баннер "Windows заблокирован"
Здраствуйте.На экране компа висит сообщение "Windows заблокирован. Заплатите 1000руб." Зашел через LiveCD. Скачивал Kaspersky Rescue Disk и записывал на диск, пробовал запустить- не получается. Так же со своего компа загружал на флешку и также не видит флешку при загрузке (в Биосе выставлял загрузку на диск или флешку). Можно как то разрешить проблему? или без этой проги не как?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) KvaDraT, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
KvaDraT, окно с блокером есть появляется до логотипа windows или после ?
На этом Live CD есть редактор удалённого реестра (например ERD Commander) ?
когда появляется надпись "добро пожаловать" водя мышкой по экрану, она оказывается уже в пределах размеров баннера (т.е. нельзя вывести за ее пределы), а потом уже сам баннер появлется.
ERD Commander есть, стоит вроде 2005 года
Значит с помощью ERD Commander-а подключитесь к реестру проблемной учётной записи.
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении
Также с помощью этого диска сделайте экспорт ветки реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run заархивируйте и прикрепите к сообщению.
Последний раз редактировалось regist; 14.04.2012 в 12:21.
- Запустите ERD Commander
- Посмотрите в реестре:
ветка:параметры:Код:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonСделайте экспорт веток реестра и приложите к следующему сообщению:Код:userinit shell
Код:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run
ERD Commander не позволит сделать экспорт веток из
Сообщение от Techno
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
параметр userinit: C:\WINDOWS\System32\userinit.exe,
параметр shell: Explorer.exe
Сделал экспорт HKEY_LOCAL_MACHINE и вроде получилось сделать HKEY_USERS
добавлю что вирус появился после того как вылетело сообщение об обновлении Java внизу справа значок, и сразу появился баннер
Даже как-то неожиданно. Впервые такое вижу
[HKEY_USERS\Denis\Software\Microsoft\Windows\Curren tVersion\Run]
и есть Ваш блокировщик. Параметры реестра удалите, а сам файл запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темыКод:"S9414612"="C:\DOCUME~1\Denis\LOCALS~1\Temp\124kkk290347.exe" "S105583"="C:\DOCUME~1\Denis\LOCALS~1\Temp\124kkk290347.exe" "S77183123"="C:\DOCUME~1\Denis\LOCALS~1\Temp\124kkk290347.exe" "S107150136"="C:\DOCUME~1\Denis\LOCALS~1\Temp\124kkk290347.exe" "S1011241"="C:\DOCUME~1\Denis\LOCALS~1\Temp\124kkk290347.exe" "S14010338"="C:\DOCUME~1\Denis\LOCALS~1\Temp\124kkk290347.exe" "S1597723"="C:\DOCUME~1\Denis\LOCALS~1\Temp\124kkk290347.exe" "S241670"="C:\DOCUME~1\Denis\LOCALS~1\Temp\124kkk290347.exe" "S6016151"="C:\DOCUME~1\Denis\LOCALS~1\Temp\124kkk290347.exe"
Пробуйте стартовать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файл сохранён как 120414_151754_124kkk290347_4f89952226b69.zip
Размер файла 62919
MD5 48fb6ae31b40e831a087af7dc945369a
Пробую запустить систему
Добавлено через 18 минут
запустил систему, но перед этим удалил не только указанные вами параметры реестра, но и сам файл-блокировщик (остался на компьютере в виде архива), а то не удалив файла баннер все равно оставался и в реестре там создавал новый параметр. Какие теперь нужно сделать логи?
Последний раз редактировалось KvaDraT; 14.04.2012 в 19:37. Причина: Добавлено
Стандартные по правилам для начала
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал логи, также в той папке откуда удалил вредоносный файл еще лежит файл с названием 224kkk290347 и весит 0 байт, мне его удалить ?
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin DeleteFile('C:\DOCUME~1\Denis\LOCALS~1\Temp\124kkk290347.exe'); ExecuteSysClean; RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell'); RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
прикладываю лог
Чисто.
I am not young enough to know everything...
спасибо всем за помощь!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\124kkk290347.exe - Trojan-Ransom.Win32.Gimemo.qdc ( DrWEB: Trojan.Winlock.5802, BitDefender: Trojan.Generic.KDV.599589, AVAST4: Win32:Zbot-OGK [Trj] )
Уважаемый(ая) KvaDraT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
