Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Разблокировка Windows от SMS-вымогателей

[ Закрыто ] Trojan.Winlock.5802 , зоблокирован доступ к рабочему столу

1 2 След.
RSS
 
aleks63
aleks63
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 21.02.2012
Размещено 08.05.2012 11:26:31
Добрый день уважаемая тех. поддержка, сегодня я столкнулся с ужасающей для многих проблемой - у меня на рабочем столе появился баннер "Windows заблокирован". А было всё именно так:
Я работал на компьютере, при этом я не качал никакие подозритльные файлы в этот момент и не посещал вредоносные сайты, и в друг процесс explorer.exe отключился (Все ярлыки и панельки пропали) и посередине экрана появилась такое окошко
(Скриншот):

При этом ни диспетчер задач, не другие функции Windows не работали. Возможно, ещё когда-то я скачал вредоносный файл, а только сегодня он себя проявил. На данный момент я сижу с другой учётной записи (Гостя), в которую я могу без проблем зайти, а вот за админский аккаунт никак (Появляется окошко это). Смотрел тему на Dr. Web и вот что он мне посоветовал:
Цитата
Важно:
Цитата
Для разблокировки:
Цитата
Кликнуть по заголовку "WINDOWS ЗАБЛОКИРОВАН";
Цитата
Два раза кликнуть по первой строке текста;
Цитата
Один раз кликнуть по второй строке текста;
Цитата
Один раз кликнуть по первой строке текста;
Цитата
Кликнуть по фразе "Ваш КОД";
Между нажатиями делать паузу в 1-2 сек
Но и это не сработало. Прошу помочь удалить это вредоносное ПО без потери файлов на компьютере. Заранее спасибо.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 08.05.2012 11:29:26
Безопасный режим загружается? Или Безопасный с поддержкой командной строки.
Второй ПК рядом есть чтоб скачать LiveCD?
Правильно заданный вопрос - это уже половина ответа
 
aleks63
aleks63
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 21.02.2012
Размещено 08.05.2012 11:41:29
Цитата
Безопасный режим загружается? Или Безопасный с поддержкой командной строки.
Безопасный - нет (Вылезает окошко), а вот с поддержкой командной строки - да.

2-ого ПК нету. :(
 
aleks63
aleks63
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 21.02.2012
Размещено 08.05.2012 11:43:49
Неужели нод обнаружил его, вот он мне что выдал:
08.05.2012 12:44:40    Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память = C:\Documents and Settings\Admin\0.01135465085493259.exe    модифицированный Win32/LockScreen.AKW троянская программа    очистка невозможна    MICROSOF-FDDC43\Other Users
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 08.05.2012 11:55:23
загружайтесь с поддержкой командной строки
там введите - notepad и нажмите Enter
откроется блокнот. в нем жмете файл - открыть файл - тип файлов-все файлы - идете по пути C:\Documents and Settings\Admin и переименовываете файл (клавишей F2) 0.01135465085493259.exe в любое другое. перезагружаетесь и делаете лог в обычном режиме - http://forum.esetnod32.ru/forum9/topic2687/
Правильно заданный вопрос - это уже половина ответа
 
aleks63
aleks63
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 21.02.2012
Размещено 08.05.2012 12:10:13
Спасибо, помогло.
Вот сам образ: http://rghost.ru/37970196
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 08.05.2012 12:13:53
Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

deltmp
delnfr
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
bl 059FFB75D74173521F4E3BEC425D8E7F 1534976
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Файл который вы переименовали - упакуйте в архив и отправьте на адрес [email protected]
Правильно заданный вопрос - это уже половина ответа
 
aleks63
aleks63
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 21.02.2012
Размещено 08.05.2012 12:20:59
Благодарю Вас, тему можно закрывать. :)
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 08.05.2012 12:22:04
В Мбам чисто?
Про рекомендации я думаю вы в курсе - http://forum.esetnod32.ru/forum9/topic3998/
Правильно заданный вопрос - это уже половина ответа
 
aleks63
aleks63
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 21.02.2012
Размещено 08.05.2012 12:32:36
Лог:
Код
Malwarebytes Anti-Malware (Пробная версия) 1.61.0.1400
www.malwarebytes.org

Версия базы данных:  v2012.05.08.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: MICROSOF-FDDC43 [администратор]

Защитный модуль : Отключен 

08.05.2012 13:28:56
mbam-log-2012-05-08 (13-32-51).txt

Тип сканирования:  Быстрое сканирование 
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  201834
Времени прошло:  3 минут , 18 секунд 

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные ключи в реестре:  1
HKCU\Software\Windows Rubar Defender (PUP.SetToolbar) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено) 

Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено) 

Обнаруженные папки:  1
C:\Documents and Settings\Admin\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.

Обнаруженные файлы:  2
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\Rubar-Toolbar\MsiHelper.log.log (PUP.Rubar) -> Действие не было предпринято.

(конец)
 
1 2 След.
Читают тему