Сообщение Windows Заблокирован, не выйти на антивирусники

Leeloosea · 13.01.2011, 01:14

Вот и я попалась на это сообщение...

Сообщение о блокировке, с кодом, который надо ввести в течение 12 часов.
В безопасный режим не выходит. Попыталась пройти по ссылке с вашего форума с другого компа, правда тот же провод от нета, почему-то открываются все сайты, кроме антивирусных.
Что-нибудь можете подсказать?

goredey · 13.01.2011, 01:17

Leeloosea, какой комп лечим?
Если который с баннером,то

1. Скачайте образ, например: ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
Ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Параметр

Код:

AppInit_DLLs

Сообщение параметра напишите здесь

Ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.

Правильное значения для Userinit это

Код:

C:\WINDOWS\system32\userinit.exe,

Цитата:

Сообщение от Leeloosea

почему-то открываются все сайты, кроме антивирусных.

Это тоже заражение. Выполните правила подготовьте логи!

Leeloosea · 13.01.2011, 01:24

Огромное спасибо за оперативность))))))
сначала лечим с баннером-он рабочий, поэтому очень глупый вопрос, не подскажете, где этот образ достать и можно его на флешку записать, потому как этот ноут без сd-romа.

goredey · 13.01.2011, 01:29

Leeloosea, вначале попробуйте вот это.Если не поможет может подойти Dr.Web® LiveUSB

Leeloosea · 13.01.2011, 02:12

В-общем, надо лечить этот комп, сейчас пришлю логи, т. к. ссылки не открываются)))

---------- Добавлено в 01:12 ---------- Предыдущее сообщение было написано в 00:30 ----------

Урааа))
avz решил мою проблему-сайты открываются, прошла по форумной ссылке по этой теме, нашла своего троянца, ввела код-и комп заработал)))))
но на всякий случай посылаю логи:
хайджек:
http://exfile.ru/149859
avz:
http://exfile.ru/149861

Iljeben · 13.01.2011, 03:08

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;

begin 
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DeleteService('taumofnl');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
BC_ServiceKill('cwlrcmgx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Leeloosea · 13.01.2011, 13:33

при выполнении выдаёт Ошибка скрипта: 'BEGIN' expected, позиция [1:2]

---------- Добавлено в 12:18 ---------- Предыдущее сообщение было написано в 12:10 ----------

разобралась, всё-таки иногда-я бландинка)))

---------- Добавлено в 12:33 ---------- Предыдущее сообщение было написано в 12:18 ----------

http://exfile.ru/149958

goredey · 13.01.2011, 14:18

Leeloosea, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ExecuteRepair(8);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

Только обязательно обновите базы!!
+
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Leeloosea · 13.01.2011, 19:18

вот результат:
avz
http://exfile.ru/150046

log и info
http://exfile.ru/150047
http://exfile.ru/150048

Iljeben · 13.01.2011, 19:59

Leeloosea, на данном этапе что волнует?

Leeloosea · 13.01.2011, 20:16

С этим ноутом- уже ничего, спасибо за оперативность, посмотрите логи с компа, на котором был троян с баннером о блокировке:
avz
http://exfile.ru/150063
хайджек
http://exfile.ru/150064

Iljeben · 13.01.2011, 20:20

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin 
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('\Device\HarddiskVolume1\Documents and Settings\Марина\Local Settings\Temp\77DDAB7E-3899D2AF-476F6265-912B2C1C\207e5_xp.exe');
TerminateProcessByName('\Device\HarddiskVolume1\Documents and Settings\Марина\Local Settings\Temp\B476A1B3-E7AD2BE-5095931E-29BA9791\97aa2_xp.exe');
 DeleteFile('\Device\HarddiskVolume1\Documents and Settings\Марина\Local Settings\Temp\77DDAB7E-3899D2AF-476F6265-912B2C1C\207e5_xp.exe');
 DeleteFile('\Device\HarddiskVolume1\Documents and Settings\Марина\Local Settings\Temp\B476A1B3-E7AD2BE-5095931E-29BA9791\97aa2_xp.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Leeloosea · 13.01.2011, 21:19

http://exfile.ru/150082

Iljeben · 13.01.2011, 21:27

Leeloosea, ничего подозрительного, для полной уверенности, пришлите такой лог:

Цитата:

1. Скачайте установочный файл mbam-setup.exe
Здесь: http://www.besttechie.net/mbam/mbam-setup.exe
Или ссылка здесь: http://www.malwarebytes.org/mbam-download.php
2. Установите ее по стандартному пути с настройками по умолчанию.
3. Обновите базы программы!!!
4. Запустите полное сканирование. Ничего не удаляйте (много ложных срабатываний)!!!
5. По окончании сканирования будет сгенерирован лог.
6. Залейте его без переименования на файлообменник и ссылку выложите на форум.

Leeloosea · 14.01.2011, 13:14

Поздравляю со старым новым Годом))

mbam
http://exfile.ru/150231

13.01.2011, 01:14	#1 (ссылка)
Leeloosea Новичок Регистрация: 24.03.2010 Сообщений: 44 Репутация: 0	Сообщение Windows Заблокирован, не выйти на антивирусники Вот и я попалась на это сообщение... Сообщение о блокировке, с кодом, который надо ввести в течение 12 часов. В безопасный режим не выходит. Попыталась пройти по ссылке с вашего форума с другого компа, правда тот же провод от нета, почему-то открываются все сайты, кроме антивирусных. Что-нибудь можете подсказать?

13.01.2011, 14:18	#8 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Leeloosea, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Код: begin ExecuteRepair(8); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту. Только обязательно обновите базы!! + Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
при загрузке windows появляется не понятное сообщение	sergunchik	Безопасность	5	23.11.2010 11:56
Появилось сообщение о подлинности Windows XP,не знаю что делать?	Sergies	Windows XP	4	16.09.2010 22:27
При переустановке Windows XP выводится сообщение что не найдено жестких дисков	Pfeil	Windows XP	19	03.03.2010 22:16
Windows заблокирован Интернет Секьюрити	bvas	Безопасность	10	17.01.2010 14:55
Как поставил себе сборку windows 7 появилась странное сообщение	onlyBh	Windows 7	2	15.01.2010 01:45
Вылазит сообщение типа всякие иероглифы и надпись BOOT.INI \windows\??.	raul245	Windows XP	13	31.08.2009 19:48
Windows - Заблокирован!!!	Z_V_E_R	Безопасность	5	11.04.2009 14:44
Windows XP сообщение при включении	Альтависта	Windows XP	5	28.02.2009 19:36
Блокирует все антивирусники	ИринаКап	Безопасность	0	20.10.2008 11:57
Сообщение "вход в службу Windows Live ID"	maxank	Windows XP	4	22.08.2008 15:15
При загрузке с винта-сообщение "invalid sistem disc". ОС Windows ME.	toxa5555	Железо	1	10.05.2008 03:39

13.01.2011, 01:24	#3 (ссылка)
Leeloosea Новичок Регистрация: 24.03.2010 Сообщений: 44 Репутация: 0	Огромное спасибо за оперативность)))))) сначала лечим с баннером-он рабочий, поэтому очень глупый вопрос, не подскажете, где этот образ достать и можно его на флешку записать, потому как этот ноут без сd-romа.

13.01.2011, 01:29	#4 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Leeloosea, вначале попробуйте вот это.Если не поможет может подойти Dr.Web® LiveUSB

13.01.2011, 02:12	#5 (ссылка)
Leeloosea Новичок Регистрация: 24.03.2010 Сообщений: 44 Репутация: 0	В-общем, надо лечить этот комп, сейчас пришлю логи, т. к. ссылки не открываются))) ---------- Добавлено в 01:12 ---------- Предыдущее сообщение было написано в 00:30 ---------- Урааа)) avz решил мою проблему-сайты открываются, прошла по форумной ссылке по этой теме, нашла своего троянца, ввела код-и комп заработал))))) но на всякий случай посылаю логи: хайджек: http://exfile.ru/149859 avz: http://exfile.ru/149861

13.01.2011, 13:33	#7 (ссылка)
Leeloosea Новичок Регистрация: 24.03.2010 Сообщений: 44 Репутация: 0	при выполнении выдаёт Ошибка скрипта: 'BEGIN' expected, позиция [1:2] ---------- Добавлено в 12:18 ---------- Предыдущее сообщение было написано в 12:10 ---------- разобралась, всё-таки иногда-я бландинка))) ---------- Добавлено в 12:33 ---------- Предыдущее сообщение было написано в 12:18 ---------- http://exfile.ru/149958

13.01.2011, 19:18	#9 (ссылка)
Leeloosea Новичок Регистрация: 24.03.2010 Сообщений: 44 Репутация: 0	вот результат: avz http://exfile.ru/150046 log и info http://exfile.ru/150047 http://exfile.ru/150048

13.01.2011, 19:59	#10 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Leeloosea, на данном этапе что волнует?

13.01.2011, 20:16	#11 (ссылка)
Leeloosea Новичок Регистрация: 24.03.2010 Сообщений: 44 Репутация: 0	С этим ноутом- уже ничего, спасибо за оперативность, посмотрите логи с компа, на котором был троян с баннером о блокировке: avz http://exfile.ru/150063 хайджек http://exfile.ru/150064

13.01.2011, 21:19	#13 (ссылка)
Leeloosea Новичок Регистрация: 24.03.2010 Сообщений: 44 Репутация: 0	http://exfile.ru/150082

14.01.2011, 13:14	#15 (ссылка)
Leeloosea Новичок Регистрация: 24.03.2010 Сообщений: 44 Репутация: 0	Поздравляю со старым новым Годом)) mbam http://exfile.ru/150231

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads