[ Закрыто ] Заблокирован доступ к рабочему столу Windows

1
RSS
Здравствуйте!
Поймал сегодня баннер, несмотря на работающий nod32... Комп загружается, появляется заставка рабочего стола (без иконок), а затем баннер: "положите 2000 р. на МТС, а на чеке, типа, прочитаете код разблокировки".
Загрузился в безопасном режиме (под пользователем) - появляется все равно тот самый баннер, а если под администратором - то безопасный режим работает всего пару минут, а потом ПК просто вырубается. Пытался за это время успеть полазить по реестру - в автозагрузках ничего интересного не нашел. Запускал NOD в безопасном режиме (в учетной записи администратора), но ничего не нашлось.

Затем на форуме пытаюсь скачать образ для создания WinPE&uVS - но ссылка выдает ошибку 509, ничего скачать не получается.
Подскажите, если я буду использовать другой "Live CD", а затем с флэшки скину и запущу uVS - так прокатит?

И нет ли каких "ручных" способов борьбы, а то зараженный комп у меня находится в отдаленной местности и не факт, что с него получится выйти в сеть и отправить лог. Спасибо.
-----------
баннер просит 2000 руб. на счет МТС
Цитата
rvs пишет:
Нет ли каких "ручных" способов борьбы, а то зараженный комп у меня находится в отдаленной местности и не факт, что с него получится выйти в сеть и отправить лог. Спасибо.
Попробуйте: AntiSMS
http://forum.simplix.ks.ua/viewtopic.php?id=399
+
Сделайте лог uVS ( Программа входит в состав их Live CD )
* На всякий случай  uVS держите под рукой.
Изменено: RP55 RP55 - 26.09.2012 00:34:52
Цитата
rvs пишет:
Затем на форуме пытаюсь скачать образ для создания WinPE&uVS - но ссылка выдает ошибку 509, ничего скачать не получается.
Подскажите, если я буду использовать другой "Live CD", а затем с флэшки скину и запущу uVS - так прокатит?
скачайте образ Winpe&uVS с rutracker
http://rutracker.org/forum/viewtopic.php?t=3650177
Проделал пока следующее:
- запустил Windows Live CD (нашел у себя), попытался подключать флэшку с uVS (и до загрузки, и после) - безуспешно;
- пытался соединение с Интернетом установить - безуспешно;
- проверка реестра (regedit) - ничего не найдено лишнего;
- ручная чистка всех папок temp в корневой папке и во всех подкаталогах, чистка истории браузера, удаление всех неизвестных файлов и логов (скрытых и системных тоже), которые появились примерно в момент появления winlocka (в коммандере строил списки по времени) - помогло!
Результат: система запустилась в нормальном режиме, баннер отсутствует.

Далее запустил на активной системе uVS, зашел под текущим пользователем. Сохранил образ автозапуска, лог высылаю:
http://rghost.ru/40580123
rvs

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
Код
     

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\MS.EXE
deltmp
delnfr
restart



-------------
Далее выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.
Скрипт сделал, mbam проверил...
Нашлось еще два. Вот результат:
Код
Malwarebytes Anti-Malware (Пробная версия) 1.65.0.1400
www.malwarebytes.org

Версия базы данных:  v2012.09.26.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Roman :: RVS [администратор]

Защитный модуль : Включен 

26.09.2012 15:56:50
mbam-log-2012-09-26 (15-56-50).txt

Тип сканирования:  Быстрое сканирование 
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  213769
Времени прошло:  7 минут , 

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные ключи в реестре:  1
HKCR\idid (Trojan.Sasfix) -> Помещено в карантин и успешно удалено.

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено) 

Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено) 

Обнаруженные папки:  0
(Вредоносных программ не обнаружено) 

Обнаруженные файлы:  1
C:\Documents and Settings\Roman\Application Data\wiaserva.log (Malware.Trace) -> Помещено в карантин и успешно удалено.

(конец)
что с проблемой?

Ну баннер пропал, я об этом еще три сообщения назад написал. Так что проблему наверно можно считать решенной
Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

1
Читают тему (гостей: 1)