Заблокирован WINDOWS - баннер на мобилку 500 рублей
Сегодня весь день борюсь и очень устала - не удалось победить баннер (опыт уже имеется, но полтора года их у меня уже не было).
Нашла аналогичный баннер в теме http://virusinfo.info/showthread.php...l=1#post891486 - ответить там мне почему-то не удалось...
Итак, баннер ТОЧНО такой и содержание такое же. Вот только телефон +79879456231 Перечислить на МТС 500 рублей).
Что интересно, в безопасном режиме тоже в ВИНДУ попадает.
Я пошла бороться в безопасном из диска D ( у меня на компе 2 оперативки- одна на C, другая на D).
Конечно , по жанру классики диспетчер задач заблокирован и т.д., как они обычно делают.
Не могу найти название этого Трояна , ну никак!...
Вот что удалось увидеть в автозагрузке в Клеанере ( на диске D только с правами администратора!!!!) :
Startup User _uninst_.lnk D:\WINDOWS\Temp\_uninst_.bat
Startup User _uninst_55490917.lnk D:\WINDOWS\Temp\_uninst_55490917.bat
Но это не то, что я хотела показать - сейчас я в оперативке на диске D , как юзер, а те интересные файлы остались на этом же диске, только, когда я вошла на него как администратор в безопасном режиме.
Позже покажу!
Так что баннер у меня сейчас до сих пор сидит на оперативке диска C - очень устала дальше работать .
Написала информацию потому, что , как столкнулась, то везде подобное искала! Поэтому, может еще кому-то пригодится и буду продолжать тему, пока не поборю ЭТОТ баннер!
Может , кто что уже знает о нем, как побороть?- я реестры чистила и удаляла эти строчки!!! По всему компу за ним гоняюсь ( я умею переходить в другую оперативку, находясь в первой!).
...Странно, откуда он у меня взялся?- работаю все время в виртуальной машине... Совсем немного сайтов прохожу без нее.
Неужели выскочил из сайтов с виртуальной машины???
Да!!! Винлогон и Юзеринит у меня в реестре все были правильно прописаны!!!!
Последний раз редактировалось Galaiey; 24.05.2012 в 18:16.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Galaiey, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
позже сделаю, потому что в ЭТОЙ оперативке надо ВСЕ проги обновлять!!!
вот еще новости: долго Аваст сканировал и выдал угрозу. Путь C\Documents and Settings\Администратор\Application Data\E642/587 Высокая угроза:INI:Cycbot-gen [Trj]. В карантин переместила. Решила вручную по пути пойти, \Application Dana\E642/587 не увидела (папки невидимые вижу!), зато вижу на пути C\Documents and Settings\Администратор странный чемодан 0.6787573559763218.exe показываю его скриншотом http://SSMaker.Ru/4cb78c79/
2. А мальбаребут тоже закончил сканировать весь комп и НИЧЕГО не нашел!!!
Последний раз редактировалось Galaiey; 24.05.2012 в 01:59.
Вот еще новости.!!!
Вчера не удержалась и (после проверки Авастом и Мальбаребутом чемоданчика, которые НИЧЕГО в нем не нашли!!!)...открыла этот чемоданчик!...
И из него выскочил баннер вымогатель...- так я заразила от сверхлюбопытства и на втором диске ПО.
Сегодня все с нуля. Только что передала вам результаты. Чемоданчик я перед этим удалила совсем. Чистила комп AVZ-файл нашелся подозрительный, лежит в в архиве virusinfo_cure - я его вам не высылала. . После чистки сделала по инструкции 3 операции.
Лечите, пжта! Мне важно зайти на комп с диска C !
Почему у меня висит "Прислать запрошенный карантин" даже после того, как я вам их отправила???- но я пароля не делала в архиве. Это обязательно надо?
Да, и вчера я обещала показать , что было в Клеанере в автозагрузке до начала моего лечения (может пригодятся данные):
раздел программа файл
Да HKCU:RunOnce Rebuild Icon Cache REBUILDI.EXE
Да HKCU:RunOnce IE7_00 regsvr32 /s /n /i:u shell32
Да HKCU:RunOnce IE7_01 rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N
Вчера я все ЭТО удаляла из реестра- сейчас они опять там торчат! Интересно, чтО их восстанавливает там???
Последний раз редактировалось Galaiey; 24.05.2012 в 18:21.
Посмотрите мои файлы и подскажите, пжта, а то я сижу, как на вокзале и жду- мне надо на диск С !!!
И почему-то у меня конвертик закрыт... ??? Или надо по-новой вопрос задавать?
Войдите в проблемную систему в Безопасном режиме с поддержкой командной строки, наберите команду explorer.exe и сделайте логи согласно п.2 и 3 раздела Диагностика.
Странно...весьма...
Вами не было сказано, чтобы я, находясь в безопасном режиме на диске С, сделала логи..., тем более, что по пункту 2 и 3 надо включить интернет, а там ( в безопасном) это невозможно.
Я вышла из безопасного с диска С и сделала логи по пунктам 2 и 3 , вот только в AVZ отметила птичкой ОБА диска -С и D... Уточните рекомендацию сделать логи! Находясь где?
Я поняла, что моих логов достаточно- я их сделала на диске D, но они включают и диск С. Могу снова сделать логи с диска D, но птичку не буду ставить диска D при выполнении пункта 2 в AVZ.
Так что, если ТАК и надо было делать ( что и ТОЛЬКО ТАК получается) то в моих логах есть диск С и D, - лог диска D - в таком случае -можно не просматривать)
ЗЫ. пункт 2 гласит: "2. Подключитесь к сети Интернет..." - КАК я в безопасном режиме его включу??? Я- блондинка?!
Находясь в той системе, которая поражена блокировщиком!
Для этого нужно войти в нее в Безопасном режиме с поддержкой командной строки и набрать команду explorer.exe. Тогда у вас будет возможность запускать программы и делать логи. Понятно, что в безопасном режиме интернет вы не подключите, но это и не требуется. Отмечать птичками диски в AVZ тоже не нужно. Просто выполнить стандартный скрипт #2.
Cпасибо - теперь понятно. Отчитываюсь:
Удалось как-то с первого раза войти на диск С в обычном режиме. С диска D на диск С перетащила проги для логов. Интернет и 2 браузера включены, Аваст выключен, скрипты выполнены полностью по инструкции пунктов 2 и 3 ! Папка virusinfo_cure тоже создалась-вам ее не отправляю.
Последний раз редактировалось Galaiey; 26.05.2012 в 16:13.
Фиксить нечего было)- только профиксила строчку F2 - REG:system.ini: UserInit=userinit.exe, -остального уже ничего не было на данное время.
Папку чемоданчика с баннером C:\Documents and Settings\Администратор\0.6787573559763218.exe я убрала находясь в оперативке с диска D.
Мне помог ваш совет " Войдите в проблемную систему в Безопасном режиме с поддержкой командной строки, наберите команду explorer.exe и сделайте логи согласно п.2 и 3 раздела Диагностика. " После выполнения я смогла зайти на диск С свободно. Делала ваши предписания и уже целый день работаю на операционке диска С.
Правда, после выполнения предписаний я еще чистила "хвосты" . CCleaner убрал в реестре HKCU\..\Run: [S9135144] C:\Documents and Settings\Администратор\0.6787573559763218.exe
O4 - HKCU\..\Run: [S19913916] C:\Documents and Settings\Администратор\0.6787573559763218.exe
O4 - HKCU\..\Run: [S32996] C:\Documents and Settings\Администратор\0.6787573559763218.exe
O4 - HKCU\..\Run: [S14814934] C:\Documents and Settings\Администратор\0.6787573559763218.exe
O4 - HKCU\..\Run: [S6659154] C:\Documents and Settings\Администратор\0.6787573559763218.exe
Это я заметила.
Потом прошлась еще и WindowsDoctor, поправила настройки браузера - много настроек было сбито.
Да, еще и скрип выполнили- на всякий случай, отчасти потому, что его не понимаю).
Перегрузилась- все нормально.
Спасибо! Все хорошо! У меня просьба к вам огромная!!!
Уже месяца 2 при включении (запуске) виртуальной машины, у меня постоянно Avast сообщает о вирусной угрозе URL:Mal - вот так это выглядит
Детали заражения
URL: http://yzfkiller.net/yzf/cmd.php
Процесс: C:\PROGRA~1\Oracle\VIRTUA~1\VirtualBox.e...
Инфекция: URL:Mal"
и потом при просмотре сайтов (немного работаю в интернете) постоянно блокирует эту угрозу URL:Mal
Как мне создать заявку? Какие скрипты где делать???- ума не приложу. Я уже AVZ и HiJackThis перетащила на виртуалку и там все делала-лечила и Мальбаребутом (который на виртуалке не работает совсем!!!). Все равно ситуация всё та же- без изменений!.
Сделала лог в AVZ и в HijackThis , находясь в виртуалке. Посмотрите пжта, или дайте рекомендации, может новую заявку делать?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: