Блокиратор Winndows Depatrment of Justice MoneyPak [Trojan.Win32.Patched.pp
]
Обычно я сам справляюсь, но тут вынужден просить о помощи, так как потерял надежду избавиться от этого баннера без переустановки винды. У меня Windows 7 64 Ultimate. При загрузке системы вылезает баннер от якобы системы безопасности США и просит уплатить 300 долларов куда-то там. Никаких номеров телефона нет. Просто окошко для ввода кода внизу. Это просто флеш-баннер, он не сворачивается, я слышу, что фоном загружается и работает Скайп, я появляюсь у других в сети - значит, он не блокирует инет. Первым делом я тут же воспользовался утилитой Kaspersky Rescue Disc 10, создал загрузочную флешку, успешно с нее загрузился, просканировал компьютер полностью. Каспер нашел 2 каких-то угрозы, но после рестарта баннер так и не исчез.
Далее я полез в реестр через тот же самый rescue disk 10. До этого пытался рестартить винду в безопасном режиме, но она выпадала в синий экран, что для меня было полной неожиданностью! В реестре ничего подозрительного не нашел, никаких странных значений, никаких shell, как написано во многих руководствах. HKEY_USERS\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKEY_USERS\SOFTWARE\Microsoft\Windows\Current Version\Run в этих разделах ничего подозрительного!
Помогите, пожалуйста! Никакими процедурами не могу заставить этот экран убраться, видимо он маскируется под системный файл. Я к тому же через диспетчер файлов почистил папки temp и startup - тоже не помогло, в них не было никаких экзешников. Как мне отловить и увидеть этот процесс? Какие еще есть способы, кроме Kaspersky Rescue Disc 10? Еще использовал сканер Hitman, он даже запустился поверх баннера и отсканировал комп, но ничего не нашел, баннер так и висит! Сколько уже видео просмотрено на ютубе и форумов перерыто, надеюсь на вашу помощь!
Последний раз редактировалось Bruzon; 21.07.2013 в 12:32.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Bruzon, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Да, с помощью Kaspersky Registry Editor.
В папке tasks следующее:
папка Microsoft
папка WPD
файлы:
{1FEE514-FFBB-4A80-A797-C76DEAC5153B}
Adobe Flash player Updater
AdobeAAMUpdater
CCleanerSkipUAC
GoogleUpdateTaskMachineCore
GoogleUpdateTaskMachineUA
Red Giant Link
Там только ntuser.dat-файлы и ament.ini файл - экзешников нет.
Баннер вылез когда я серфил в опере. Причем, после этого случая опера закрашилась так, что пришлось ее удалить через анинсталл. Баннер тоже пропал сам как-то. То есть при первом его появлении я мог комбинацией alt+TAB переключаться между окнами программ. Потом я поставил новую оперу 64 бит, работает она нормально. Но после перезагрузки компа баннер вылез уже окончательно и бесповоротно, никак не обойти.
Последний раз редактировалось Bruzon; 21.07.2013 в 13:26.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
Архив ZOO_2011-06-30_22-04-27.7z пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.
Скопировал скрипт в текстовый файл, открыл как по инструкции через uVS, он пишет мне "Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено!"
Скопировал все точно, я проверял. Сохранил как текстовый документ в формате txt.
Проверку скрипта делал, пишет "неизвестная команда в строке 1"
Bruzon, скачайте отсюда текстовый файл со скриптом и выполните скрипт uVS из этого файла.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите папку ZOO, заархивируйте её в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
Последний раз редактировалось regist; 22.07.2013 в 00:37.
Загрузил карантин. Первый скрипт не выполнялся, потому что в нем не было строки
OFFSGNSAVE.
Спасибо! Я теперь могу пробовать загрузить систему?
Попробовал загрузить.
Баннер появляется ненадолго, затем исчезает, остается голый рабочий стол, виден только гаджет погоды. На нажатия мыши не реагирует, диспетчер задач вызывается, но не виден. Панели управления тоже нет. В общем, эффект такой, будто бы он есть.
Последний раз редактировалось Bruzon; 22.07.2013 в 00:56.
Попробуйте еще сделать экспорт веток HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run и аналогичную ветку в разделе HKEY_USERS\<Имя проблемной учетки>
Последний раз редактировалось thyrex; 22.07.2013 в 01:15.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Вот я попал... Эти ребята, что делают эти баннеры совершенствуют свои навыки, маскируют червей. И главное что я попал на эту новинку, никогда ведь ничего серьезного не ловил. А тут работать надо, а ноут под влиянием неуловимого червя. Причем, все работает - системные процессы, скайп автоматом запускается - я появляюсь в сети у друзей, но увы.
Как же быть? Сносить винду или восстанавливать с диска? Поможет ли? Как же он запускается с системой, но нигде не проявляет себя? Еще заметил, что процесс называется Police Report - я как то раз нажал "выйти из системы" и она ругнулась на то, что невозможно выйти из-за незавершенного процесса "Police Report". Это название никак не поможет найти зверя?
Блин, теперь перестал запускаться Kaspersky Rescue Disk 10 через флешку! Полный вперед, он же у меня работал! Теперь при загрузки с флеш-девайса мелькает надпись какая то и начинает винда грузиться. Чем мне экспорт реестра-то сделать?
Последний раз редактировалось Bruzon; 22.07.2013 в 01:38.
Bruzon, выполните в uVS ещё скрипт из этого файла, если банера после перезагрузки нет, то сделайте стандартные логи по правилам. Если не получится попытайтесь в безопасном режиме.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: