Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Разблокировка Windows от SMS-вымогателей

[ Закрыто ] Заблокирован доступ к рабочему столу Windows

1
RSS
 
rvs
rvs
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 11.05.2012
Размещено 26.09.2012 00:20:25
Здравствуйте!
Поймал сегодня баннер, несмотря на работающий nod32... Комп загружается, появляется заставка рабочего стола (без иконок), а затем баннер: "положите 2000 р. на МТС, а на чеке, типа, прочитаете код разблокировки".
Загрузился в безопасном режиме (под пользователем) - появляется все равно тот самый баннер, а если под администратором - то безопасный режим работает всего пару минут, а потом ПК просто вырубается. Пытался за это время успеть полазить по реестру - в автозагрузках ничего интересного не нашел. Запускал NOD в безопасном режиме (в учетной записи администратора), но ничего не нашлось.

Затем на форуме пытаюсь скачать образ для создания WinPE&uVS - но ссылка выдает ошибку 509, ничего скачать не получается.
Подскажите, если я буду использовать другой "Live CD", а затем с флэшки скину и запущу uVS - так прокатит?

И нет ли каких "ручных" способов борьбы, а то зараженный комп у меня находится в отдаленной местности и не факт, что с него получится выйти в сеть и отправить лог. Спасибо.
-----------
баннер просит 2000 руб. на счет МТС
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 26.09.2012 00:27:13
Цитата
rvs пишет:
Нет ли каких "ручных" способов борьбы, а то зараженный комп у меня находится в отдаленной местности и не факт, что с него получится выйти в сеть и отправить лог. Спасибо.
Попробуйте: AntiSMS
http://forum.simplix.ks.ua/viewtopic.php?id=399
+
Сделайте лог uVS ( Программа входит в состав их Live CD )
* На всякий случай  uVS держите под рукой.
Изменено: RP55 RP55 - 26.09.2012 00:34:52
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.09.2012 06:15:59
Цитата
rvs пишет:
Затем на форуме пытаюсь скачать образ для создания WinPE&uVS - но ссылка выдает ошибку 509, ничего скачать не получается.
Подскажите, если я буду использовать другой "Live CD", а затем с флэшки скину и запущу uVS - так прокатит?
скачайте образ Winpe&uVS с rutracker
http://rutracker.org/forum/viewtopic.php?t=3650177
[ Как создать образ автозапуска? ]
 
rvs
rvs
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 11.05.2012
Размещено 26.09.2012 10:53:03
Проделал пока следующее:
- запустил Windows Live CD (нашел у себя), попытался подключать флэшку с uVS (и до загрузки, и после) - безуспешно;
- пытался соединение с Интернетом установить - безуспешно;
- проверка реестра (regedit) - ничего не найдено лишнего;
- ручная чистка всех папок temp в корневой папке и во всех подкаталогах, чистка истории браузера, удаление всех неизвестных файлов и логов (скрытых и системных тоже), которые появились примерно в момент появления winlocka (в коммандере строил списки по времени) - помогло!
Результат: система запустилась в нормальном режиме, баннер отсутствует.

Далее запустил на активной системе uVS, зашел под текущим пользователем. Сохранил образ автозапуска, лог высылаю:
http://rghost.ru/40580123
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 26.09.2012 13:39:18
rvs

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
Код
     

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\MS.EXE
deltmp
delnfr
restart


-------------
Далее выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.
 
rvs
rvs
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 11.05.2012
Размещено 26.09.2012 16:10:34
Скрипт сделал, mbam проверил...
Нашлось еще два. Вот результат:
Код
Malwarebytes Anti-Malware (Пробная версия) 1.65.0.1400
www.malwarebytes.org

Версия базы данных:  v2012.09.26.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Roman :: RVS [администратор]

Защитный модуль : Включен 

26.09.2012 15:56:50
mbam-log-2012-09-26 (15-56-50).txt

Тип сканирования:  Быстрое сканирование 
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  213769
Времени прошло:  7 минут , 

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные ключи в реестре:  1
HKCR\idid (Trojan.Sasfix) -> Помещено в карантин и успешно удалено.

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено) 

Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено) 

Обнаруженные папки:  0
(Вредоносных программ не обнаружено) 

Обнаруженные файлы:  1
C:\Documents and Settings\Roman\Application Data\wiaserva.log (Malware.Trace) -> Помещено в карантин и успешно удалено.

(конец)
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 26.09.2012 16:12:17
что с проблемой?
 
rvs
rvs
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 11.05.2012
Размещено 26.09.2012 16:14:18
Ну баннер пропал, я об этом еще три сообщения назад написал. Так что проблему наверно можно считать решенной
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 26.09.2012 16:28:13
Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/
 
1
Читают тему