-
Junior Member
- Вес репутации
- 59
Смс вымогатель заблокировал windows
Вложение 411693Вложение 411694смс вымогатель заблокировал windows. зайти никда нельзя. с помощью kasper live cd в реестре обнаружил измененные записи. параметр userinit значение k:\tempor\2trQf69.exe. у параметров shell и uihost то же значение.
добавил ветки реестра run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run
Последний раз редактировалось PEPPER; 26.03.2013 в 16:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) PEPPER, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Код:
k:\tempor\2trQf69.exe
Файл найдите и измените ему расширение на dta.
Затем исправляете параметры: shell, значение explorer.exe и userinit, значение C:\WINDOWS\system32\userinit.exe, (запятая в конце обязательно).
Пробуйте загрузить систему и делать отчеты по правилам.
-
-
Junior Member
- Вес репутации
- 59
изменил имя файла и значние параметров shell и userinit как написали. теперь окно при загрузке исчезло, но система не может загрузится.при загрузке выскакиает окно с учетной записью, начинает загружаться рабочий стол и опять выскакивает окно с учетной записью и запросом на пароль для входа.
-
Прошу прощения, упустил момент, что у вас система установлена на диск D. В связи с чем исправьте параметр Userinit на D:\WINDOWS\system32\userinit.exe,
-
-
Junior Member
- Вес репутации
- 59
В параметре userinit я так и утсановил диск D.
-
Значит где-то ошиблись. Из-за этого не получается войти в учетную запись.
Также проверьте наличие в system32 самого файла userinit.
-
-
Junior Member
- Вес репутации
- 59
Вложение 411926Вложение 411927Вложение 411928
Система загружается, но все еще заражена. Сделал логи.
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\winlogon.exe','');
QuarantineFile('K:\Tempor\2trQF69.exe','');
QuarantineFile('D:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\lAvbxkY3neg.exe','');
DeleteFile('D:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\lAvbxkY3neg.exe');
DeleteFile('K:\Tempor\2trQF69.exe');
DeleteFile('D:\Documents and Settings\PEPPER.PEPPER14022005\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
-
Код:
D:\WINDOWS\tasks\At1.job
D:\WINDOWS\tasks\At2.job
Содержимое этих файлов откройте в Блокноте и процитируйте содержимое
Папки
Код:
D:\Documents and Settings\All Users\Application Data\IBank
D:\Documents and Settings\All Users\Application Data\wjfPA9SP2DU
удалите вручную
Удалите в МВАМ все, кроме
Код:
C:\WINDOWS\Рабочий стол\Windows_XP_Service_Pack_1\WindowsXP Product Key Viewer.exe (Hacktool.KeySteal) -> Действие не было предпринято.
C:\WINDOWS\Рабочий стол\Windows_XP_Activation_and_Reactivation\XPKey.exe (Trojan.Downloader) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
hijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zipСодержимое файла, он там оказался один, не смог открыть. но так как я не создавал никаких напоминалок, то удалил от греха подальше.
В MBAM все удалил кроме вышеуказанных. В эксплорере по прежнему выскакивает порно баннер и нельзя зайти на virusinfo.
Сделал новые логи.
-
- Пофиксите в HijackThis:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8826288-4193-44D0-8DD1-3838534ECEB2}: NameServer = 193.111.137.199
- Установите SP3 (может потребоваться активация), новый Internet Explorer, а также все доступные обновления для Windows
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Techno
Строчку удалил. Баннер в эксплорере также вылезает.
Есть ли возможность удаления вируса без установки sp3 и обновлений. Компьютер старый боюсь будет очень сильно тормозить.
-
Куки и кэш браузера почистите
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
PEPPER
Есть ли возможность удаления вируса без установки sp3 и обновлений
тогда довольно быстро подхватите новый вирус, так что установить надо обязательно. На довольно старых компьютерах отлично работает SP3
-
-
Junior Member
- Вес репутации
- 59
Всем огромное спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-