Показано с 1 по 14 из 14.

Блокер! Спасайте!!! (заявка № 101609)

  1. #1
    Junior Member Репутация
    Регистрация
    01.05.2011
    Сообщений
    7
    Вес репутации
    48

    Exclamation Блокер! Спасайте!!!

    Прошу ВАШЕЙ помощи в обезвреживании этой заразы!
    Словил позавчера на ноуте. Система windows XP home edition service pack3.
    Голубой экран с надписью "Ваш компьютер заблокирован за распространение и тиражировании видеоматериалов содержащих элементы педофилии и тд." Предлагалось оплатить штраф в размере 400р на номер МТС.
    Сперва пробовал разные коды - ничего не помогло, да это и не важно, потому что сейчас экрана с требованием оплаты штрафа уже нет, компьютер загружается до появления рисунка рабочего стола, затем идет завершение сеанса и возврат к выбору учетной записи пользователя. При загрузке в безопасном режиме (в том числе с поддержкой командной строки), помимо моей учетной записи появляется учетная запись "администратор", при выборе любой из этих записей происходит завершение сеанса и выход в меню выбора учетной записи. При обычной загрузке, появляется только моя учетная запись. Никакие комбинации клавиш (ctrl+alt+del; win+D, win+m, ctrl+shift+esc и т.д. не помогают. При нажатии win+u можно вызвать экранную лупу и клавиатуру, но экран с предупреждением не вылезает, т.к. видимо когда-то давно я уже нажал "не показывать больше этот экран".
    Винт снимал и проверял на домашнем компьютере разными антивирусами - NOD32, DR.WEb, не обнаружили вообще ничего, Каспер нашел 3 каких-то вируса, которые удалил, но лучше от этого не стало. Утилита CureIt в усиленном режиме безопасности ничего не нашла. Грузился с live CD Dr.Web, запускал сканер, результат тот же.
    Все папки типа Temporary internet files в папках всех пользователей стер нафиг. В папке браузера mozilla firefox стер все файлы, которые подходили по описанию вируса блокера (много цифр.exe)
    Загружался с live cd ERD50, пытался править реестр, в ветке HKEY_LOCAL_MACHINE(...)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение shell = explorer.exe
    Ситуация по-прежнему не изменилась.
    Что еще можно сделать уже не знаю.
    P.S. Систему сносить очень не хочется...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    В ERD:
    Пуск - Выполнить - erdregedit
    Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    Код:
    userinit
    параметр
    Код:
    shell
    ветка
    Код:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Содержимое этих параметров напишите в своем сообщении.

    Проверьте размер файлов в WINDOWS\system32:
    userinit.exe и taskmgr.exe
    и тоже сообщите.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    01.05.2011
    Сообщений
    7
    Вес репутации
    48
    К сожалению, все операции с реестром смогу сделать только чуть позже, (у меня сейчас только винт на руках), а вот файлы userinit.exe и taskmgr.exe - посмотрел. Их нет!! Вообще!

    Добавлено через 59 минут

    Итак, докладываю по реестру:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    userinit = с:\windows\system32\userinit.exe,

    shell = Explorer.exe
    (раньше тут
    было что-то типа C:\Documents and Settings\All Users\чего-то_такое_цифры.exe, но я исправил на Explorer.exe, теперь при открытии в erdregedit этот параметр сохраняется)

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

    AppInit_DLLs

    Value name:
    AppInit_DLLs

    Value data
    пустое пространство
    Последний раз редактировалось bbcom; 01.05.2011 в 20:05. Причина: Добавлено

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Цитата Сообщение от bbcom Посмотреть сообщение
    а вот файлы userinit.exe и taskmgr.exe - посмотрел. Их нет!! Вообще!
    Восстановите их с другой аналогичной системы.
    Или с дистрибутива, как здесь описано:
    http://virusinfo.info/showthread.php?t=51654
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    01.05.2011
    Сообщений
    7
    Вес репутации
    48
    Nikkollo, спасибо тебе огромное!!! Все заработало!
    Переписал фалы с другого компьютера и после перезагрузки система нормально загрузилась. Все на своих местах. Сейчас прогоняю NODом на всякий случай.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Логи тоже сделайте:
    http://virusinfo.info/pravila.html
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    01.05.2011
    Сообщений
    7
    Вес репутации
    48
    Вот логи. Надеюсь, все правильно сделал...
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DelBHO('{6096E38F-5AC1-4391-8EC4-75DFA92FB32F}');
     QuarantineFile('C:\Program Files\Mozilla Firefox\null0.7328154910580852.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-4969874462-0858853171-330665778-7311\nissan.exe','');
     QuarantineFile('C:\Documents and Settings\Lenovo\csrss.exe','');
     DeleteFile('C:\Documents and Settings\Lenovo\csrss.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-4969874462-0858853171-330665778-7311\nissan.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    01.05.2011
    Сообщений
    7
    Вес репутации
    48
    Файл quarantine.zip отправил. Повторные логи сделал:

  11. #10
    Junior Member Репутация
    Регистрация
    01.05.2011
    Сообщений
    7
    Вес репутации
    48
    polword, так что, лечение можно считать законченным, или как?
    А то ведь MBAM нашел 20 зараженных файлов... потереть их или оставить?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [Shell] "C:\Program Files\Mozilla Firefox\null0.7328154910580852.exe"
    Удалите в MBAM:
    Код:
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177076.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177077.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177079.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177080.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177084.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177087.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177089.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177092.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177093.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177094.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177100.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177101.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177102.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177103.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177104.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177105.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177106.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177107.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{f3cbcd12-0dd5-47b2-960b-985f1bdef4b9}\RP549\A0177108.exe (Spyware.Passwords.XGen) -> No action taken.
    Повторите лог HijackThis и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  13. #12
    Junior Member Репутация
    Регистрация
    01.05.2011
    Сообщений
    7
    Вес репутации
    48
    Пофиксил. Удалил. Лог прилагаю.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Чисто.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) bbcom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Валидация аккаунта спасайте
      От Snoha в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.11.2011, 05:02
    2. Спасайте
      От KoTlllyAshKa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.07.2010, 15:28
    3. спасайте! полная машина всякой заразы
      От vknyaz в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 05.11.2009, 20:49
    4. Спасайте-Помогите-Невозможно работать...
      От Service в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 24.03.2009, 10:35
    5. Спасайте-Помогите
      От Service в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.02.2009, 18:13

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01342 seconds with 18 queries