И снова Winlock с оплатой на билайн

**-Алексей-** · 13.09.2010, 00:23

Доброго времени суток!
Вновь обращаюсь к вам за помощью. На компьютере моего друга словили заразу. При загрузке появляется черный экран с обвинением в хранении зоо, порно и других филий. Предлагается заплатить через аппарат на номер абонента билайн 400 рублей. Посмотрел по форуму. Обнаружил несколько обращений с подобными проблемами. Как и у остальных не работает безопасный режим. Воспользовался ERD Commander и попытался исправить ветку реестра на машине:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр "userinit" - сократил до C:\WINDOWS\system32\userinit.exe ... а так в конце было дописано ссылка на temp директорию.
Параметр "shell" - изменил на C:\Documents and settings\Admin\Рабочий стол\explorer.exe ... вместо ссылки на vip_porno_57556.avi.exe

Вероятно я что-то сделал не так, так как после перезагрузки рабочий стол загрузился без баннера, но и без значков рабочего стола. Соответственно редактор реестра и диспетчер задач остались заблокированы. Войти в безопасном режиме не удается.
Прошу подсказать, что надо исправить, чтобы можно было в дальнейшем вести лечение в соответствии с правилами раздела.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Никита Соловьев** · 13.09.2010, 01:51

Сообщение от -Алексей-

Вероятно я что-то сделал не так, так как после перезагрузки рабочий стол загрузился без баннера

Конечно неправильно...
Разве проводник находится здесь:

Сообщение от -Алексей-

Параметр "shell" - изменил на C:\Documents and settings\Admin\Рабочий стол\explorer.exe

Параметр SHELL измените на Explorer.exe

Загрузите ОС и сделайте логи по правилам

**-Алексей-** · 13.09.2010, 19:57

Спасибо. Все получилось.
Первоначальная ошибка была вызвана тем, что на рабочем столе был ярлык на explorer.exe. Спасибо, что поправили.
Выполнил проверку согласно правил.
Высылаю логи.
Жду помощи в долечивании.

P/S/ пишу с машины, на которой была угроза.

Добавил карантин, полученый после работы AVZ

Файл сохранён как 100913_195911_virus_4c8e4a4fdba71.zip
Размер файла 1649305
MD5 826110a27b75c68b3232c7f0cbc3c367

**Никита Соловьев** · 13.09.2010, 19:59

Сообщение от -Алексей-

Высылаю логи.

Где они?

**-Алексей-** · 13.09.2010, 20:32

Приношу извинение. Загружал, но не присоеденил ....

Похоже, что переполнился лимит вложений, почистил ....

**Никита Соловьев** · 13.09.2010, 20:57

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteRepair(20);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Сделайте новые логи

**-Алексей-** · 13.09.2010, 21:12

При попытке загрузить файл quarantine.zip выдает сообщение, что файл уже был загружен.
Логи будут чуть позже

**Никита Соловьев** · 13.09.2010, 21:13

Сообщение от -Алексей-

При попытке загрузить файл quarantine.zip выдает сообщение, что файл уже был загружен.
Логи будут чуть позже

Хорошо.

**-Алексей-** · 13.09.2010, 21:41

Логи выполнены

**Никита Соловьев** · 13.09.2010, 21:51

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\espB5FD.tmp');
 RegSearch('HKLM','','espB5FD.tmp');
 SaveLog(GetAVZDirectory+'Search.log');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Search.log прикрепите к сообщению.

**-Алексей-** · 14.09.2010, 19:24

Выполнено. Единственное, что поторопился и не отключил ESET Nod32.
Что то у меня в этой новости сплошные промашки

Надеюсь на результаты это не повлияло ...

**Никита Соловьев** · 14.09.2010, 19:46

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SetAVZGuardStatus(true);
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet002\Control\Print\Providers\178B511B');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Control\Print\Providers\178B511B');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Control\Print\Providers\178B511B');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Print\Providers\178B511B');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте лог virusinfo_syscheck.zip

**-Алексей-** · 14.09.2010, 21:40

Выполнен лог.

**Никита Соловьев** · 14.09.2010, 21:53

Чисто

**-Алексей-** · 14.09.2010, 21:59

Спасибо большое!

**CyberHelper** · 15.09.2010, 21:59

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

И снова Winlock с оплатой на билайн (заявка № 87758)

Опции темы

И снова Winlock с оплатой на билайн

Итог лечения

Похожие темы

Winlock.6386: ОС заблокирована. Требует отправить деньги на номер БиЛайн +79676706048

баннер билайн

Снова Trojan.Winlock.179

Поймали вирус с оплатой за СМС

Вирус, с оплатой винды по смс

Метки для этой темы

Ваши права в разделе