Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 54.

Блокиратор Winndows Depatrment of Justice MoneyPak [Trojan.Win32.Patched.pp ] (заявка № 142340)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    24
    Вес репутации
    17

    Блокиратор Winndows Depatrment of Justice MoneyPak [Trojan.Win32.Patched.pp ]

    Обычно я сам справляюсь, но тут вынужден просить о помощи, так как потерял надежду избавиться от этого баннера без переустановки винды. У меня Windows 7 64 Ultimate. При загрузке системы вылезает баннер от якобы системы безопасности США и просит уплатить 300 долларов куда-то там. Никаких номеров телефона нет. Просто окошко для ввода кода внизу. Это просто флеш-баннер, он не сворачивается, я слышу, что фоном загружается и работает Скайп, я появляюсь у других в сети - значит, он не блокирует инет. Первым делом я тут же воспользовался утилитой Kaspersky Rescue Disc 10, создал загрузочную флешку, успешно с нее загрузился, просканировал компьютер полностью. Каспер нашел 2 каких-то угрозы, но после рестарта баннер так и не исчез.
    Далее я полез в реестр через тот же самый rescue disk 10. До этого пытался рестартить винду в безопасном режиме, но она выпадала в синий экран, что для меня было полной неожиданностью! В реестре ничего подозрительного не нашел, никаких странных значений, никаких shell, как написано во многих руководствах.
    HKEY_USERS\​SOFTWARE\​Microsoft\​Windows NT\​CurrentVersion\​Winlogon
    HKEY_USERS\​​SOFTWARE\​Microsoft\​Windows\​Current Version\​Run в этих разделах ничего подозрительного!
    Помогите, пожалуйста! Никакими процедурами не могу заставить этот экран убраться, видимо он маскируется под системный файл. Я к тому же через диспетчер файлов почистил папки temp и startup - тоже не помогло, в них не было никаких экзешников. Как мне отловить и увидеть этот процесс? Какие еще есть способы, кроме
    Kaspersky Rescue Disc 10? Еще использовал сканер Hitman, он даже запустился поверх баннера и отсканировал комп, но ничего не нашел, баннер так и висит! Сколько уже видео просмотрено на ютубе и форумов перерыто, надеюсь на вашу помощь!
    Последний раз редактировалось Bruzon; 21.07.2013 в 11:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) Bruzon, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Где экспорт веток реестра?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    24
    Вес репутации
    17
    Простите, вот они. Значение userinit - C:\windows\system32\userinit.exe
    shell explorer.exe

    Еще заметил что при перезагрузке винды с экраном она ругнулась на незавершенный процесс Police Report - видимо, это и есть тот самый блокиратор.
    Вложения Вложения
    • Тип файла: rar 1.rar (762 байт, 7 просмотров)

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Экспорт делали с помощью Kaspersky Registry Editor?
    Содержимое папки windows\system32\tasks сообщите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    24
    Вес репутации
    17
    Да, с помощью Kaspersky Registry Editor.
    В папке tasks следующее:
    папка Microsoft
    папка WPD

    файлы:
    {1FEE514-FFBB-4A80-A797-C76DEAC5153B}
    Adobe Flash player Updater
    AdobeAAMUpdater
    CCleanerSkipUAC
    GoogleUpdateTaskMachineCore
    GoogleUpdateTaskMachineUA
    Red Giant Link

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    А в папке ProgramData нет никаких неизвестных файлов?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    24
    Вес репутации
    17
    Там только ntuser.dat-файлы и ament.ini файл - экзешников нет.
    Баннер вылез когда я серфил в опере. Причем, после этого случая опера закрашилась так, что пришлось ее удалить через анинсталл. Баннер тоже пропал сам как-то. То есть при первом его появлении я мог комбинацией alt+TAB переключаться между окнами программ. Потом я поставил новую оперу 64 бит, работает она нормально. Но после перезагрузки компа баннер вылез уже окончательно и бесповоротно, никак не обойти.
    Последний раз редактировалось Bruzon; 21.07.2013 в 12:26.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Сделайте полный образ автозапуска uVS (http://virusinfo.info/showthread.php?t=121985)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. #10
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    24
    Вес репутации
    17
    Сделал. Пытаюсь сохранить образ автозапуска в текстовый файл.
    Вложения Вложения
    Последний раз редактировалось Bruzon; 21.07.2013 в 16:50.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Где лог UVs, который я просил сделать?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  13. #12
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    24
    Вес репутации
    17
    я прикрепил к сообщению выше, это то или не то?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Выполните скрипт в UVs (http://virusinfo.info/showthread.php?t=122012)

    Код:
    ;uVS v3.80.1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    
    zoo %Sys32%\COMPMGMTLAUNCHER.EXE
    zoo %Sys32%\GATHERNETWORKINFO.VBS
    zoo %Sys32%\USERINIT.EXE
    zoo %SystemRoot%\SYSWOW64\USERINIT.EXE
    zoo %SystemRoot%\EXPLORER.EXE
    zoo %Sys32%\WINLOGON.EXE
    czoo
    deltmp
    После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)

    Архив ZOO_2011-06-30_22-04-27.7z пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  15. #14
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    24
    Вес репутации
    17
    Скопировал скрипт в текстовый файл, открыл как по инструкции через uVS, он пишет мне "Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено!"
    Скопировал все точно, я проверял. Сохранил как текстовый документ в формате txt.
    Проверку скрипта делал, пишет "неизвестная команда в строке 1"

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Bruzon, скачайте отсюда текстовый файл со скриптом и выполните скрипт uVS из этого файла.

    После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите папку ZOO, заархивируйте её в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

  17. #16
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    24
    Вес репутации
    17
    Загрузил карантин. Первый скрипт не выполнялся, потому что в нем не было строки
    OFFSGNSAVE.
    Спасибо! Я теперь могу пробовать загрузить систему?

    Попробовал загрузить.
    Баннер появляется ненадолго, затем исчезает, остается голый рабочий стол, виден только гаджет погоды. На нажатия мыши не реагирует, диспетчер задач вызывается, но не виден. Панели управления тоже нет. В общем, эффект такой, будто бы он есть.
    Последний раз редактировалось Bruzon; 21.07.2013 в 23:56.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Файлы только брались в карантин. Они чистые

    - - - Добавлено - - -

    Попробуйте еще сделать экспорт веток HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run и аналогичную ветку в разделе HKEY_USERS\<Имя проблемной учетки>
    Последний раз редактировалось thyrex; 22.07.2013 в 00:15.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    24
    Вес репутации
    17
    Вот я попал... Эти ребята, что делают эти баннеры совершенствуют свои навыки, маскируют червей. И главное что я попал на эту новинку, никогда ведь ничего серьезного не ловил. А тут работать надо, а ноут под влиянием неуловимого червя. Причем, все работает - системные процессы, скайп автоматом запускается - я появляюсь в сети у друзей, но увы.
    Как же быть? Сносить винду или восстанавливать с диска? Поможет ли? Как же он запускается с системой, но нигде не проявляет себя? Еще заметил, что процесс называется Police Report - я как то раз нажал "выйти из системы" и она ругнулась на то, что невозможно выйти из-за незавершенного процесса "Police Report". Это название никак не поможет найти зверя?

    Блин, теперь перестал запускаться Kaspersky Rescue Disk 10 через флешку! Полный вперед, он же у меня работал! Теперь при загрузки с флеш-девайса мелькает надпись какая то и начинает винда грузиться. Чем мне экспорт реестра-то сделать?
    Последний раз редактировалось Bruzon; 22.07.2013 в 00:38.

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от Bruzon Посмотреть сообщение
    невозможно выйти из-за незавершенного процесса "Police Report"
    Увы, нет

    Цитата Сообщение от Bruzon Посмотреть сообщение
    Чем мне экспорт реестра-то сделать?
    Сделайте загрузочный диск
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Bruzon, выполните в uVS ещё скрипт из этого файла, если банера после перезагрузки нет, то сделайте стандартные логи по правилам. Если не получится попытайтесь в безопасном режиме.

  • Уважаемый(ая) Bruzon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. смс блокиратор
      От scra2009 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 24.05.2012, 14:01
    2. Блокиратор
      От Михаил Упоров в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 31.05.2011, 07:27
    3. СМС блокиратор
      От myaso в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 08.01.2011, 17:50
    4. Информер-блокиратор
      От SummerBreeze1989 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.05.2010, 08:25
    5. Вип-гей клуб блокиратор
      От ssash76 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.05.2010, 14:25

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00264 seconds with 17 queries