Помогите,попался вымогателям!

[ТТМ]

Искал фильм Тарковского Жертвоприношение,попался вымогателям,кои мне выставили табличку нелицензионного Виндовс с требованием уплаты на телефон Билайн.
Перезагрузив в безопасный режим табличка вылезла снова.

Пишу с другого компьютера

[Acidorum]

Здравствуйте.
Давайте попробуем так:
1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
Должен появиться проводник.
2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки

Код:

<диск с заблокированой ОС>:\WINDOWS\System32\config

Затем сообщите :
В ключе

Код:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

значение параметра

Код:

Userinit

и значение параметра

Код:

Shell

[ТТМ]

Здравствуйте,пока ждал ответа ,на сайте Др.Веб нашёл такую же,как у меня табличку с именем трояна-Trojan.Winlock.2741
Введённый код (с сайта Др.Веб) для этой проги ничего не дал.
Эта инфа нам не поможет?

Сейчас в обычном режиме загружается пустой рабочий стол

Добавлено через 10 минут

Ваш пункт 1 выполнил.Проводник появился.

[Acidorum]

Теперь подготовьте логи по правилам.

[ТТМ]

Сделал логи AVZ - virusinfo_syscure.zip.

AVZ - virusinfo_syscheck.zip- не было в папке,повидиммому не нашёл ошибок.

HJT - hijackthis.log -не нашёл(не нашёл папку программы),хотя и делал проверку с сохранением логов.Вижу только текстовый файл.

[Acidorum]

Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\System Volume Information\_restore{5D4E571C-7389-4BD4-8E95-39CD823D3D6A}\RP19\A0030703.exe','');
QuarantineFile('D:\WINDOWS\Temp\0.2850546848893666.exe','');
DeleteFile('D:\WINDOWS\Temp\0.2850546848893666.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(16);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте полный комплект повторных логов, загрузившись в нормальном режиме.

[ТТМ]

quarantine.zip послал ,щас попробую сделать логи...Рабочий стол появился.

Но восстановление системы в безопасном режиме отключить не смог

[ТТМ]

Аналогично п.5:

Сделал логи AVZ - virusinfo_syscure.zip.

AVZ - virusinfo_syscheck.zip- не было в папке

HJT - hijackthis.log -не нашёл(не нашёл папку программы),хотя и делал проверку с сохранением логов.Вижу только текстовый файл.

[Acidorum]

Закройте все браузеры.
Выполните скрипт в AVZ:

Код:

begin
DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D');
end.

Что у Вас с проблемой?

[ТТМ]

Скрипт выполнил.
Проблема вроде бы как разрешилась.
Большое спасибо.

[Acidorum]

Скопируйте содержимое файла ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ появится файл avz.log. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедиться, что уязвимости устранены.

[ТТМ]

Выполнил скрипт.
8 уязвимостей .Из них -5 ,от Микрософт ,не скачиваются.Большая перегрузка на сервере,или у меня что то не то?

Добавлено через 4 часа 43 минуты

Всё скачал и обновился.
Скрипт выполнен без ошибок.Новый файл avz.log не появился.

Добавлено через 11 часов 37 минут

Скопируйте содержимое файла *** и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ появится файл avz.log. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедиться, что уязвимости устранены.

Этот скрипт можно запустить для обновления и на других компьютерах?

[Acidorum]

Да, можно. Он универсален.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. d:\\windows\\temp\\0.2850546848893666.exe - Trojan-Ransom.Win32.Gimemo.zj ( DrWEB: Trojan.Winlock.2741, BitDefender: Trojan.Generic.KDV.152720, AVAST4: Win32:MalOb-FT [Cryp] )