-
Junior Member
- Вес репутации
- 49
Троянец блокировал систему
Правила прочитал, но тут дело в том, что никак не могу попасть в систему, даже в безопастном режиме: троян блокировал все.
В самом начале сообщение:
Для разблокировки вам необходимо выполнить следующие действия:
В любом терминале оплаты сотовой связи пополните номер абонента
МТС 89152629648
По завершении оплаты, на выданном терминале чеке оплаты, Вам будет выдан код.
Пробовал даже переустановить систему: опять ничего не получилось.
Выдает техническую информацию:
0хF78D2425, 0xC0000034, 0x00000000, 0x00000000
Машина у меня ноутбук ASUS K50IJ. Система винда 7
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
а также
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 49
Значение параметра userinit - X:\i386\system32\userinit.exe
shell - Explorer.exe
В AppInit_DLLs ничего не указано.
-
Вы смотрите реестр самого Live CD, нужно заражённой машины.
-
-
Junior Member
- Вес репутации
- 49
userinit - C:\WINDOWS\system32\userinit.exe
shell - C:\Document and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\W0DV1PP\xxx_video_42933.avi[1].exe
AppInit_DLLs - пусто
-
Сообщение от
alimnabi
shell - C:\Document and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\W0DV1PP\xxx_video_42933.avi[1].exe
Здесь меняем, прописываем такое значение - Explorer.exe
Перезагружаемся и делаем логи по правилам.
-
-
Junior Member
- Вес репутации
- 49
-
Пожалуйста, но логи по правилам нужны - зверь остался.
-
-
Junior Member
- Вес репутации
- 49
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Document and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\W0DV1PP\xxx_video_42933.avi[1].exe','');
DeleteFile('C:\Document and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\W0DV1PP\xxx_video_42933.avi[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скачайте AVZ 4.35, обновите его базы
Сделайте новые логи (в нормальном режиме)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Не получается скачать avz. Пробовал с разных ресурсов ...
-
Попробуйте полиморфный из моей подписи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\VV0DV1PP\xxx_video_42933.avi[1].exe','');
DeleteFile('C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\VV0DV1PP\xxx_video_42933.avi[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel( 'HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Control\SafeBoot', 'AlternateShell');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=94338).
Сделайте новые логи virusinfo_syscheck и HijackThis (п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
-
Избавились от зверя, что с проблемой?
-
-
Junior Member
- Вес репутации
- 49
Не знаю, честно говоря, но блокирующее сообщение-вымогатель больше не появляется при загрузке системы.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-