-
Junior Member
- Вес репутации
- 60
И снова Winlock с оплатой на билайн
Доброго времени суток!
Вновь обращаюсь к вам за помощью. На компьютере моего друга словили заразу. При загрузке появляется черный экран с обвинением в хранении зоо, порно и других филий. Предлагается заплатить через аппарат на номер абонента билайн 400 рублей. Посмотрел по форуму. Обнаружил несколько обращений с подобными проблемами. Как и у остальных не работает безопасный режим. Воспользовался ERD Commander и попытался исправить ветку реестра на машине:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр "userinit" - сократил до C:\WINDOWS\system32\userinit.exe ... а так в конце было дописано ссылка на temp директорию.
Параметр "shell" - изменил на C:\Documents and settings\Admin\Рабочий стол\explorer.exe ... вместо ссылки на vip_porno_57556.avi.exe
Вероятно я что-то сделал не так, так как после перезагрузки рабочий стол загрузился без баннера, но и без значков рабочего стола. Соответственно редактор реестра и диспетчер задач остались заблокированы. Войти в безопасном режиме не удается.
Прошу подсказать, что надо исправить, чтобы можно было в дальнейшем вести лечение в соответствии с правилами раздела.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
-Алексей-
Вероятно я что-то сделал не так, так как после перезагрузки рабочий стол загрузился без баннера
Конечно неправильно...
Разве проводник находится здесь:
Сообщение от
-Алексей-
Параметр "shell" - изменил на C:\Documents and settings\Admin\Рабочий стол\explorer.exe
Параметр SHELL измените на Explorer.exe
Загрузите ОС и сделайте логи по правилам
-
-
Junior Member
- Вес репутации
- 60
Спасибо. Все получилось.
Первоначальная ошибка была вызвана тем, что на рабочем столе был ярлык на explorer.exe. Спасибо, что поправили.
Выполнил проверку согласно правил.
Высылаю логи.
Жду помощи в долечивании.
P/S/ пишу с машины, на которой была угроза.
Добавил карантин, полученый после работы AVZ
Файл сохранён как 100913_195911_virus_4c8e4a4fdba71.zip
Размер файла 1649305
MD5 826110a27b75c68b3232c7f0cbc3c367
-
Сообщение от
-Алексей-
Высылаю логи.
Где они?
-
-
Junior Member
- Вес репутации
- 60
Приношу извинение. Загружал, но не присоеденил ....
Похоже, что переполнился лимит вложений, почистил ....
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(20);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 60
При попытке загрузить файл quarantine.zip выдает сообщение, что файл уже был загружен.
Логи будут чуть позже
-
Сообщение от
-Алексей-
При попытке загрузить файл quarantine.zip выдает сообщение, что файл уже был загружен.
Логи будут чуть позже
Хорошо.
-
-
Junior Member
- Вес репутации
- 60
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\espB5FD.tmp');
RegSearch('HKLM','','espB5FD.tmp');
SaveLog(GetAVZDirectory+'Search.log');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Search.log прикрепите к сообщению.
-
-
Junior Member
- Вес репутации
- 60
Выполнено. Единственное, что поторопился и не отключил ESET Nod32.
Что то у меня в этой новости сплошные промашки
Надеюсь на результаты это не повлияло ...
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SetAVZGuardStatus(true);
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet002\Control\Print\Providers\178B511B');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Control\Print\Providers\178B511B');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Control\Print\Providers\178B511B');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Print\Providers\178B511B');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Сделайте лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 60
-
Чисто
-
-
Junior Member
- Вес репутации
- 60
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-