14 / 14 / 3
Регистрация: 03.03.2011
Сообщений: 435
|
|
1 | |
Баннер (Компьютер заблокирован)18.05.2011, 17:31. Показов 19889. Ответов 32
Здравствуйте форумчане! Беда приключилась с моим ноутбуком, поразил его вирус в виде баннера закрывающего полностью рабочий стол и нижнюю панель (см. скриншот)
-На компьютере Vista PRO, пробовал в безопасном режиме загружать пишет что поврежден ЖД. -Пробовал восстанавливать с DVD-диска установочного, говорит что не видит установленной Windows и соответственно и точек восстановления. -Пользовался утилитами по генерированию кодов - не помогло. -Dr.WEB и Касперского сайты посещал, пользовался их разблокировачными сайтами - нету кодов подходящих. -Звонил оператору ТЕЛЕ2, кодов сказали не существует, создали заявку (сегодня) для рассмотрения специалистами, сказали позвонят в течении трёх дней. Может кто еще чем то помочь? Можно и инструкциями по удалению вируса вручную, по установке Windows Vista поверх старого Vista (не пробовал сверху не разу ставить).
0
|
18.05.2011, 17:31 | |
Ответы с готовыми решениями:
32
Баннер Windows заблокирован Компьютер заблокирован вирусом Компьютер заблокирован, но как то странно Компьютер заблокирован якобы МВД |
Почетный модератор
|
|
18.05.2011, 17:33 | 2 |
попробуйте так:
Разблокировка компьютера от троянов семейства WinLock (sms - вымогатели) (внизу страницы под спойлером)
1
|
14 / 14 / 3
Регистрация: 03.03.2011
Сообщений: 435
|
|
18.05.2011, 18:17 [ТС] | 3 |
Спасибо magirus! Под спойлером действительно хорошая инфа, но что то не как найти не могу образ LiveCD или DVD для Vista да еще и с EDR commander...
Не знаете где скачать? (только торрент).
0
|
1130 / 161 / 4
Регистрация: 24.12.2010
Сообщений: 389
|
|
18.05.2011, 18:33 | 5 |
Leningradeс, ERD Commander
2
|
14 / 14 / 3
Регистрация: 03.03.2011
Сообщений: 435
|
|
18.05.2011, 19:03 [ТС] | 6 |
magirus, не спорю что на раз Но находятся в основном летитбит, народ и другие. А скорость там ну очень медленная для скачивания образа, да и еще если кто не пользуется программами на подобие Download Master, то разрыв соединения через 5-10 часов и всё конец загрузки
Вот сейчас через Download Master качаю, скорость 5-6 кб/сек ориентировочно на 31 час... Буду надеется что докачка поддерживается и что бы инет не обрывался. Да и скорость может ночью выростит до 50 кб/сек хотя бы.
0
|
14 / 14 / 3
Регистрация: 03.03.2011
Сообщений: 435
|
|
20.05.2011, 00:36 [ТС] | 7 |
Сделал LiveCD с EDR, вот результат:
Ветка: Код
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Код
AppInit_DLLs Код
Value name: AppInit_DLLs Value data: (пустая строка) Код
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Код
Shell Код
Value name: Shell Value data: (стояло)(путь)/mshta.exe (поменял)Explorer.exe Код
Userinit Код
Value name: Userinit Value data: C:\WINDOWS\system32\userinit.exe,
0
|
Заблокирован
|
|
20.05.2011, 00:38 | 8 |
пробуйте загрузиться с жесткого диска. После этого: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
1
|
14 / 14 / 3
Регистрация: 03.03.2011
Сообщений: 435
|
|
20.05.2011, 02:02 [ТС] | 9 |
На ноуте не Vista, а ХР
Тут написано якобы ЖД поврежден? Пробовать в обычном режиме проверять CureIT?
0
|
14 / 14 / 3
Регистрация: 03.03.2011
Сообщений: 435
|
|
20.05.2011, 02:47 [ТС] | 11 |
Если что ноут не мой
virusinfo_cure.zip virusinfo_syscure.zip info.rar log.rar Кстате из ТЕЛЕ2 перезвонили и сказали что кодов не существует и они советуют переустановить Windows
0
|
1130 / 161 / 4
Регистрация: 24.12.2010
Сообщений: 389
|
|
20.05.2011, 10:57 | 12 |
это крайние меры, нам не пригодятся
Добавлено через 58 минут Проверьте файлы на http://www.virustotal.com C:\WINDOWS\system32\CmdLineExt03.dll C:\WINDOWS\system32\mshta.exe у вас системная дата выставлена правильно? C:\!!!!!!! происхождение папки известно? Отключите: Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. Код
begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\CmdLineExt03.dll',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Sun\oeend08.dll',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5470689389507203.exe',''); QuarantineFile('C:\WINDOWS\system32\tmp8E.tmp',''); QuarantineFile('C:\WINDOWS\system32\mshta.exe',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\bfastfao.sys',''); QuarantineFile('c:\windows\system32\msxslt3.exe',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\Sun\oeend08.dll'); DeleteFile('c:\docume~1\admin\locals~1\temp\bfastfao.sys'); DeleteFile('c:\windows\system32\msxslt3.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0.5470689389507203.exe'); DeleteFile('C:\WINDOWS\system32\tmp8E.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MsXSLT'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); DeleteService('bfastfao'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Выполните лог HijackThis Сделайте повторные логи AVZ (virusinfo_syscure.zip, virusinfo_syscheck.zip) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM Меняйте важные пароли Добавлено через 33 минуты В догонку, каталог C:\Documents and Settings\Admin\Application Data\Sun\ удалите ручками после выполнения скрипта и проверьте запуск безопасного режима
1
|
14 / 14 / 3
Регистрация: 03.03.2011
Сообщений: 435
|
|
20.05.2011, 12:53 [ТС] | 13 |
Скрипты AVZ сделал успешно, сформировал карантин и отослал его, все нормально. HijackThis лог выполнил. Папку Sun удалил. Сделал логи AVZ и выполняю проверку Malwarebytes' Anti-Malware, попозже прикреплю логи.
0
|
14 / 14 / 3
Регистрация: 03.03.2011
Сообщений: 435
|
|
20.05.2011, 13:20 [ТС] | 15 |
C:\WINDOWS\system32\CmdLineExt03.dll
http://www.virustotal.com/file... 305872796# C:\WINDOWS\system32\mshta.exe http://www.virustotal.com/file... 1305873775
0
|
14 / 14 / 3
Регистрация: 03.03.2011
Сообщений: 435
|
|
20.05.2011, 13:33 [ТС] | 17 |
0
|
14 / 14 / 3
Регистрация: 03.03.2011
Сообщений: 435
|
|
20.05.2011, 13:50 [ТС] | 19 |
Проверка долгая Malwarebytes' Anti-Malware уже 2 часа 20 минут прошло...
0
|
1130 / 161 / 4
Регистрация: 24.12.2010
Сообщений: 389
|
|
20.05.2011, 14:20 | 20 |
Leningradeс, Дождитесь окончания
ну вот и выцепили ваш банер
1
|
20.05.2011, 14:20 | |
20.05.2011, 14:20 | |
Помогаю со студенческими работами здесь
20
Баннер в браузере с левой стороны и баннер приватбанка Компьютер заблокирован после запуска виндовс Что делать если компьютер заблокирован вирусом? ваш компьютер заблокирован. пополните счет в размере 400 руб. и получите код разблокировки Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |