Перейти к содержанию
Правила раздела

Как вылечить вирус Worm.Win32.AutoRun.bszz

buraleks

От buraleks
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

buraleks Новичок

buraleks

Опубликовано
Опубликовано (изменено)

Помогите пожалуйста вылечить червя, сканирую касперским находит удаляет но при загрузке в приветствии виндовса вместо рабочего

стола появляется табличка заплатите 500Р и тогда разблокируем доступ (кроме окошка ничего нет, только цифры для пароля кода от смс). Как не пробовал не получается.

 

НЕ прочитал ваше правило, сейчас все сделаю и добавлю информацию.

Изменено пользователем buraleks
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 32
  • Created
  • Последний ответ

Top Posters In This Topic

  • buraleks

    17

  • Roman_Five

    8

  • icotonev

    4

  • thyrex

    3

Popular Days

Top Posters In This Topic

Popular Days

Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
вместо рабочего

стола появляется табличка заплатите 500Р и тогда разблокируем доступ (кроме окошка ничего нет, только цифры для пароля кода от смс)

а на какой номер?

Ссылка на комментарий
Поделиться на другие сайты
buraleks Новичок

buraleks

Опубликовано
  • Автор
Опубликовано
НЕ получается, т.к не дает загрузить систему не в безопасном режиме ни в рабочем режиме

 

Вирус пришел с этого сайта movieworld.kz там первый фильм пытался посмотреть подробнее в описании.

 

а на какой номер?

 

Сотовый номер МТС

Ссылка на комментарий
Поделиться на другие сайты
buraleks Новичок

buraleks

Опубликовано
  • Автор
Опубликовано
Вирус пришел с этого сайта movieworld.kz там первый фильм пытался посмотреть подробнее в описании.

 

 

 

Сотовый номер МТС

 

 

Пишет через 12 часов после запуска информация будет стерта с компьютера.

Ссылка на комментарий
Поделиться на другие сайты
buraleks Новичок

buraleks

Опубликовано
  • Автор
Опубликовано
Kaspersky Rescue Disk ?

 

 

Дело в том что не дает ничего подгрузить или войти в систему.

 

:)

напишите номер.

 

А это поможет? Тогда сейчас буду смотреть номер.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

I этап (выполняется на чистой от вирусов машине)

 

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)

2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

 

II этап (выполняется на заблокированной машине)

 

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)

2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:

– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter

– выберите необходимый язык из списка

– нажмите 1, чтобы принять лицензионное соглашение

– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола

3. Запустите Kaspersky Registry Editor

4. Откроется редактор реестра

– выберите нужную систему (та, которая заблокирована), если у Вас их несколько

– посмотрите в реестре:

ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр userinit

параметр shell

Значения этих параметров напишите в своем сообщении

 

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
buraleks Новичок

buraleks

Опубликовано
  • Автор
Опубликовано (изменено)

Раскрывающийся текст:

I этап (выполняется на чистой от вирусов машине)

 

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)

2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

 

II этап (выполняется на заблокированной машине)

 

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)

2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:

– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter

– выберите необходимый язык из списка

– нажмите 1, чтобы принять лицензионное соглашение

– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола

3. Запустите Kaspersky Registry Editor

4. Откроется редактор реестра

– выберите нужную систему (та, которая заблокирована), если у Вас их несколько

– посмотрите в реестре:

ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр userinit

параметр shell

Значения этих параметров напишите в своем сообщении

 

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.

 

Сообщение от модератора Roman_Five
не цитируйте полностью сообщения, пожалуйста

 

Спасибо, сейчас буду пробовать.

 

А кто нибудь сталкивался с таким червем? В интернете нигде не нашел описания и лечения.

 

p.s скачиваю... Kaspersky Rescue Disk

 

Раскрывающийся текст:

 

 

не цитируйте полностью сообщения, пожалуйста

 

Спасибо, сейчас буду пробовать.

 

А кто нибудь сталкивался с таким червем? В интернете нигде не нашел описания и лечения.

 

p.s скачиваю... Kaspersky Rescue Disk

 

 

Сделал экспорт веток но.. они сохраняются не известно куда и я не могу их сохранить на флешке или носителе.

 

Номер телефона вируса +79879585320 МТС

 

 

ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр userinit - lsass.exe

параметр shell - explorer.exe

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр userinit - lsass.exe

необходимо изменить параметр userinit на правильный - C:\Windows\system32\userinit.exe,

обратите внимание - в конце должны быть запятая.

вот инструкция - http://forum.kaspersky.com/index.php?showtopic=222075

 

загрузившись в обычном режиме сделайте логи по правилам.

Изменено пользователем Roman_Five
не тот слэш
Ссылка на комментарий
Поделиться на другие сайты
buraleks Новичок

buraleks

Опубликовано
  • Автор
Опубликовано (изменено)

Сделал как вы сказали, "необходимо изменить параметр userinit на правильный - C:\Windows\system32\userinit.exe,"

все равно не грузится система.

 

Прикрепляю ветки реестра во вложении. Удалось вытащить.

111.rar

Изменено пользователем buraleks
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

также удалите записи в ветке

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"S1109330"="C:\\Documents and Settings\\Администратор\\ms.exe"
"S17319531"="C:\\Documents and Settings\\Администратор\\ms.exe"

 

в обычном режиме сделайте логи по по правилам.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Файл C:\Documents and Settings\Администратор\ms.exe также рекомендую переместить в любую другую папку, т.к. могут оказаться и другие ключи, которые его запускают

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Zero56621
      Не могу вылечить вирус в системной памяти.
      От Zero56621
      Меня уже долгое время мучает троян в системной памяти с названием MEM:Trojan.Win32.SEPEH.gen. Я уже попробовал много различных программ и от зависаний на короткое время мне помогла только программа Emsisoft Emerengecy Soft. При попытке вылечить данный троян, у меня просто появлялся черный экран, где я даже мышкой не мог двигать (это при попытке вылечить с помощью KVRT). Я не знаю где сохраняются отчеты, так что я решил сделать скрин. Так же прикрепил файл с программы EES.

      scan_250111-162811.txt
    • Belzak
      [РЕШЕНО] Не могу вылечить вирус
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • sergoborin
      [РЕШЕНО] Полностью вылечить систему после HEUR:Trojan.Multi.GenBadur.genw
      От sergoborin
      Добрый день!
       
      Не получалось вылечить HEUR:Trojan.Multi.GenBadur.genw, после перезагрузки он снова появлялся
      Удалил вручную, прошу проверить, не осталось ли ничего ещё каких-либо подозрительных файлов
      CollectionLog-2025.01.06-00.30.zip
    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

×
×
  • Создать...