Баннер

[EvgLen]

Добрый день! У супруги на компьютере повис банер, с требованием перечислить на номер +79139330554 сумму в размере 2 000 рублей. У жены шок, еле отпаил после испуга Благо есть второй ноутбук рядом... Сразу обратился к программам касперского на сайте. Попробовал загрузить Kaspersky Rescue Disk через диспетчер задач, удалил несколько вредов и установлил Касперский Кристал 12. После перезагрузки запустить диспетчер задач не удаётся. Создал как рекомендовано загрузочный флеш диск, изменил настройки в БИОСе, но при загрузке на экране появилась надпись No bootable partion in table... Всё, на этом мои скромные познания закончились, очень прошу помочь.

Сообщение от модератора Mark D. Pearlstone

Сообщение перенесено из темы.

 

Уважаемые модераторы, подскажите, когда ждать помощи?

 

... поправка.... Лечил с помощью Kaspersky Virus Removal Tool.

[thyrex]

В каком-либо из безопасных режимов без блокировки загружается?

[EvgLen]

Нет, при загрузке все равно появляется банер... первый раз получилось запустить диспетчер задач, через него пробрался к папкам, с флешки загрузил Kaspersky Virus Removal Tool и после лечения установил антивирус, но после перезагрузки уже и диспетчер не запускается...

 

Что я в биосе не так сделал, почему не получается загрузить деблокер с флешки как рекомендовано на сайте?

 

получилось загрузить в безопасном режиме с командной строкой. Как это можно использовать?

[Roman_Five]

получилось загрузить в безопасном режиме с командной строкой.

 

введите regedit

enter

 

поищите в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

этот параметр

AppInit_DLLs

в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

этот параметр

userinit

и этот

shell

Приложите результат в новом сообщении (сами файлы не удаляйте!).

 

Ткже сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.

[EvgLen]

Я на форуме первый раз, извините за вопрос, но как долго ждать ответы?

 

Спасибо, сейчас попробую!

 

Простите, нашёл но я пишу с одного компьютера, а эта проблема на другом... и что мне делать с найденными файлами? Нашёл AppInit_DLLs в указанной ветке... а дальше то, что? Ещё раз извините... не сведущь в этих вопросах...

[Roman_Five]

напишите значения всех параметров в новом сообщении.

+

приложите в архиве 2 reg файла.

[EvgLen]

У меня в "заболевшем компьютере" вставлена флешка с Kaspersky WindowsUnlocker, может её запустить? Если да, посоветуйте как это сделать из командной строки. Да и Кристал 12 я установил, пока был доступ, может его какнибудь можно из командной строки запустить?

 

А что такое параметры? и Как Reg файлы выслать если они в другом ноутбуке?

 

AppInit_DLLs - в поле значение ничего нет

userinit - в поле значение написано C:\Windows\sestem32\userinit.exe,

shell - explorer.exe

 

 

 

 

Archive.7z

 

Господа модераторы, я всё верно сделал?

[Roman_Five]

в редакторе реестра удалите ТОЛЬКО вот эти строки:

"S1797891"="C:\\Users\\Елена\\0.6199489064743292.exe"
"S4511133"="C:\\Users\\Елена\\0.6199489064743292.exe"
"S28816"="C:\\Users\\Елена\\0.6199489064743292.exe"
"S19136159"="C:\\Users\\Елена\\0.6199489064743292.exe"
"S5545184"="C:\\Users\\Елена\\0.6199489064743292.exe"
"S1094182"="C:\\Users\\Елена\\0.6199489064743292.exe"
"S185102167"="C:\\Users\\Елена\\0.6199489064743292.exe"
"S10616256"="C:\\Users\\Елена\\0.6199489064743292.exe"
"S910438"="C:\\Users\\Елена\\0.6199489064743292.exe"
"S4936187"="C:\\Users\\Елена\\0.6199489064743292.exe"
"S015678"="C:\\Users\\Елена\\0.6199489064743292.exe"

в ветке HKEY_USERS\S-1-5-21-1489442165-962994187-1214815512-1000\Software\Microsoft\Windows\CurrentVersion\Run

 

перезагрузитесь в обычный режим и сделайте логи по правилам.

[EvgLen]

LOG.7z Не помогло, в обычном режиме висит банер! В безопасном режиме запустил АВЗ, прилагаю папку ЛОГ с отчётом

[thyrex]

Roman_Five

Удалять нужно не только указанные параметры, но и прописанный в них файл

Без этого без блокировки не загрузиться

Причина кроется в этом ключе

HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell

 

EvgLen

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\Users\Елена\0.6199489064743292.exe','');
DeleteFile('C:\Users\Елена\0.6199489064743292.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1797891');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S4511133');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S28816');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S19136159');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S5545184');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1094182');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S185102167');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S10616256');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S910438');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S4936187');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S015678');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Обновите базы AVZ

 

Сделайте новые логи в обычном режиме, не дожидаясь ответа из вирлаба

[EvgLen]

Господа специалисты, очень признателен за помощь и поддержку!

Компьютер заработал, банера больше нет... Уже установил Кристал. Зверя в карантине отправил по указанному адресу, получу ответ, отпишусь.

Подскажите, что такое ЛОГи и как их сделать, если не затруднит (вопрос наверняка пустяковый, но я эту китайскую грамоту в первый раз слышу )

Ещё раз спасибо!

[thyrex]

Почти тоже, что Вы делали чуть раньше ?)

 

Выполните правила в нормальном режиме