Показано с 1 по 14 из 14.

Windows заблокирован-пополнить счет! (заявка № 99194)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2010
    Адрес
    Saint Petersburg
    Сообщений
    34
    Вес репутации
    27

    Windows заблокирован-пополнить счет!

    После приветствия окно на весь экран!Пишет, что
    нелецензионная версия Windows.
    ужно Пополнить счет на 300 рублей через терминал оплаты.
    Номер абонента 9614789831 На чеке будет код. Нужно ввести его для разблокировки винды.

    -В безопасный режим не войти.
    -Сканировал dr web live cd нашел sms блокер, я его удалил. Перезагрузил компьютер- та же картина.
    -Сделал live cd windows - зависает на загрузке xp
    -Сделал диск ERD Commander запустил.
    а дальше что делать не знаю! HELP ME пожалуйста!!


    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр - shell : C:\Windows\explorer.exe,
    параметр - userinit: c:\windows\userinit.exe, былеще один параметр hpafwnb (.exe помоему) я его удалил, а банер остался!
    Последний раз редактировалось antoncrb; 11.03.2011 в 20:11.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Здравствуйте.
    Цитата Сообщение от antoncrb Посмотреть сообщение
    userinit: c:\windows\userinit.exe,
    Скажите, значение параметра было точно таким?
    Случаем не
    Код:
    c:\windows\system32\userinit.exe,
    ?
    Также, попробуйте загрузиться в безопасном режиме с поддержкой командной строки. Затем введите explorer.exe. Должен появиться проводник.

  4. #3
    Junior Member Репутация
    Регистрация
    26.10.2010
    Адрес
    Saint Petersburg
    Сообщений
    34
    Вес репутации
    27
    все верно таким как вы написали
    c:\windows\system32\userinit.exe,

    ни в каком безопасном режиме не загружается!!

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Окей, едем дальше.
    Загрузитесь с ERD Commander, в диалоговом окне выберите свою ОС.
    Пожалуйста, теперь сообщите:
    В ключе
    Код:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    значение параметра
    Код:
    AppInit_DLLs
    Все параметры ключей
    Код:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

  6. #5
    Junior Member Репутация
    Регистрация
    26.10.2010
    Адрес
    Saint Petersburg
    Сообщений
    34
    Вес репутации
    27
    Едем!)
    пишу вручную. стандартный путь буду сокращать


    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_DLLs : c:\windows\system32\vksaver.dll

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
    -default
    -acrobat assistant 8.0 : c\progfiles\adobe\acrobat\acrotray.exe
    -adobe acrobat speed launcher : c\prog files\adobe\....\acrobat_sl.exe
    -adobe arm : c\prog files\common files\adobe\....\adobeARM.exe
    -adobe_ID0ENQBO : c:\progra-1\common-1\adobe\adobev-1\server\bin\versio-2.exe
    -adobeCS4Servise Maneger : "c\progfiles\commonfiles\adobe\cs4servicemaneger\c s4servmaneger.exe"-launched
    -daemontools-1033 : "c\progfile\d-tools\daemon.exe"-lang 1033
    -divxUpdate : c\prog files\divx\...\divxupdate.exe." CHECKNOW
    -egui : "c\progfiles\eset\eset nod32 antivirus\egui.exe" /hide/waiteservice
    -groovemonitor : c\progfiles\microsoft\\ office\...\groovemonitor.exe
    -guard.mail.ru.gui : c\progfiles\mail.ru\guard\guardmailru.exe"/gui
    -JMB36X IDE Setup : c\windows\raidtool\xInsIDE.exe
    -LifeCam : c\progfiles\microsoft lifecam\lifeExp.exe
    -MAgent : c:\progfiles\mail.ru\......\MAgent.exe-LM
    -NeroFilterCheck : c\windows\system32\nerocheck.exe
    -NvCplDaemon : RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvTaskbarInit
    -NvMediaCener : RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    -nwiz : nwiz.exe/instal
    -RTHDCPL : RTHDCPL.EXE
    -VKSaverUpdater : C\progfiles\VKSaver\VKSaverUpdater.exe


    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce

    в этом ключе параметр default
    Только ключ называется не RunOnceEx

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Код 16342131 не подходит?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    26.10.2010
    Адрес
    Saint Petersburg
    Сообщений
    34
    Вес репутации
    27
    Неет! не подходит!!

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Проверьте наличие http://virusinfo.info/showpost.php?p...6&postcount=10
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    26.10.2010
    Адрес
    Saint Petersburg
    Сообщений
    34
    Вес репутации
    27
    Спасибо большое!!
    Удалил этот параметр и все заработало!
    Делаю полное сканирование и вышлю логи

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Также

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    26.10.2010
    Адрес
    Saint Petersburg
    Сообщений
    34
    Вес репутации
    27
    Вот ЛогИ

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\documents and settings\milky and crabby\local set-tings\Temp\0.965121110104451.exe','');
    QuarantineFile('c:\csrss.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ только указанные ниже записи
    Код:
    Заражённые файлы:
    c:\csrss.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\milky and crabby\local settings\Temp\0.965121110104451.exe (Trojan.Dropper) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    26.10.2010
    Адрес
    Saint Petersburg
    Сообщений
    34
    Вес репутации
    27
    Выполнил скрипт,сделал проверку,удалил две записи!/Прислал карантин!
    Последний раз редактировалось antoncrb; 13.03.2011 в 10:18.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\csrss.exe - Trojan.Win32.Swisyn.ayow ( DrWEB: Trojan.MulDrop2.7840, BitDefender: Trojan.Generic.5575835, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) antoncrb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. windows заблокирован, пополнить номер МТС
      От fefer в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.12.2011, 21:08
    2. Ответов: 9
      Последнее сообщение: 22.07.2011, 12:29
    3. Ответов: 19
      Последнее сообщение: 14.04.2011, 22:05
    4. Ответов: 5
      Последнее сообщение: 25.12.2010, 01:48
    5. Ответов: 3
      Последнее сообщение: 21.11.2010, 18:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01158 seconds with 16 queries