Перейти к содержанию

Trojan-Ransom.Win32.PornoAsset.ccj


Рекомендуемые сообщения

Здравствуйте. Не подскажете как разблокировать? Или полностью проверять Kaspersky WindowsUnlocker? Комп древний, один диск С, очень долго проверятся будет. Возможность зайти с PE есть.

Ссылка на комментарий
Поделиться на другие сайты

Или полностью проверять Kaspersky WindowsUnlocker?

...

Возможность зайти с PE есть.

 

2 варианта:

1) Unlocker - http://support.kaspersky.ru/viruses/solutions?qid=208641245

2) "ручками"

 

1. попробовать загрузиться в безопасном режиме с поддержкой командной строки, через которую загрузить редактор реестра и исправить реестр

http://forum.kaspersky.com/index.php?showt...t&p=1559101

 

2. загрузиться с любого лайвсиди с возможностью редактирования реестра и исправить реестр

Скачайте образ ERD Commander

запишите на диск

установите в BIOS загрузку с CD

загрузитесь

пуск|start - выполнить|run - erdregedit

в подгруженном реестре с Вашего компьютера поищите в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

этот параметр

AppInit_DLLs

в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

этот параметр

userinit

и этот

shell

Приложите результат в новом сообщении (сами файлы не удаляйте!).

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

 

Уже ушел от компа, завтра продолжу, и если получится выложу логи. Все данные Вами ветки реестра исправлял, 22СС6С32 удалил, userinit с систем32, и дллкеш восстанавливал (заражены), tackmgr, explorer нормальный, темпы чистил. Что то там новенькое придумали(((. В обычном режиме банер сразу появляется, а после восстановлении безопасного режима, в безопаске грузится нормально, експлорером запускается. Но только если нажал ctrl-alt-del сразу же банер выскакивает, и затем на самом банере меняются номера телефонов для отправки см.

Ссылка на комментарий
Поделиться на другие сайты

Сомнительно, что придумано что-то новое

 

Но только если нажал ctrl-alt-del
Значит taskmgr.exe заражен

 

1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с системы, аналогичной заблокированной)

2. Загрузиться с Live CD

3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache)

4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32

5. Исправляете параметры: shell, где должно быть указано explorer.exe и userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (включая запятую!).

 

Пробуете стартовать в проблемной системе

Ссылка на комментарий
Поделиться на другие сайты

AVPTool на половине проверки уходит в бсод, при этом попутно выбив кучу вирей. Выполнил рекомендации вручную.

 

system32\dllcache\taskmgr.exe
заражен.

 

Блокировщик пропал, но там ужс с системой.

AVZ 4.37 с обновленными базами не может создать virusinfo_syscure.zip, ругается но флоппи диск.

Поэтому выкладываю что имеется

 

Логи:

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

sandkey,

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system\fun.exe','');
QuarantineFile('C:\WINDOWS\system32\winsit.exe','');
DeleteFile('C:\WINDOWS\system32\winsit.exe');
DeleteFile('C:\WINDOWS\system\fun.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки.

O4 - Global Startup: AutorunsDisabled

 

 

Повторите логи AVZ, сделайте лог RSIT (см. правила оформления запроса)

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация)

 

 

Отчет о работе AVPTool не сохранился?

Ссылка на комментарий
Поделиться на другие сайты

Логи:

virusinfo_syscheck.zip

rsit.zip

mbam завтра.

Отчет о работе AVPTool не сохранился?

К сожалению нет.

Изменено пользователем sandkey
Ссылка на комментарий
Поделиться на другие сайты

mbam завтра.

ок

 

Лог RSIT переделайте, выберите проверку файлов за 3 месяца.

 

 

AVZ 4.37 с обновленными базами не может создать virusinfo_syscure.zip, ругается но флоппи диск.

скриншот покажите

 

 

D:\

E:\

что это (съемные носители, логические (физические) диски)?

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • gulyeza
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • DoctorRS
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • nikolai.ilyin
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
    • foroven
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • The_LastNight
      Автор The_LastNight
      Добрый день! После посещения несколько сайтов словил вирус MEM: TROJAN. MULTI.AGENT.GEN. Касперский его видит, но удалить не может, появляется снова. Некоторые способы с форума уже пробовал, не помогли.
×
×
  • Создать...