Блокировщик-вымогатель тел.8-965-191-35-03

[Handino]

Добрый вечер!

Прошу Вас помочь разблокировать Windows. Поймал, похоже, самый свежий Троян Винлок или маскирующийся под него руткит.
Кода разблокировки ни на одном сайте не нашел, описания вымогателя который просит пополнить баланс именно этого номера телефона в сети тоже не нашёл..

Симптомы:

Вирус полностью блокирует диспетчер задач (окно Диспетчера даже не моргает), не позволяет загружаться ни в одном из безопасных режимов.
Блокирующее окно появляется сразу вслед за загрузкой эксплоэра, примерно через 1 секунду.
Выходит вот это сообщение:

Внимание! Windows заблокирован!
Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы просматривали не лицензированные фильмы содержащие ГЕЙ-ПОРНО.
Для разблокировки Windows необходимо:
Пополнить номер абонента Билайн 8-965-191-35-03 на сумму 500 рублей.
Оплатить можно через терминал для оплаты сотовой связи, или в любом салоне сотовой связи. После оплаты, на выданном терминалом чеке, или чеке, выданном в салоне сотовой связи, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже:

Внимание! Любые действия, связанные с попыткой обмануть систему могут нанести вред вашему компьютеру и привести к потере важной информации.

Заходил в систему с помощью ERD Commander 2009 - в реестре, где обычно прописываются подобного рода вирусы, всё отлично:
shell - Explorer.exe,
userunit - c:\Windows\system32\userunit.exe

Заходил также в систему с помощью Kaspersky Rescue Disk 10, запускал Kaspersky WindowsUnlocker, проверял с помощью Resque Disk на наличие вредноносных программ - результата никакого.
Shell – ОК
Userinit – OK
все NTUSER.DAT opened successfully

Единственное, что не заблокировал вирус - на компе 2 пользователя, от имени второго пользователя спокойно захожу в систему, подключаю интернет, работаю в системе.

Запускал менеджер автозагрузки - там тоже нет ничего подозрительного.
Буду Вам очень признателен за помощь в борьбе с этим вирусом.

Вложенные файлы - результат анализа системы, загруженной от второго пользователя, системы без загруженного вируса .

[Info_bot]

Уважаемый(ая) Handino, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Никита Соловьев]

Сделайте лог MBAM. Сканируйте раздел, в котором установлена зараженная система.

[Handino]

Лог сделал, отсканировал системный диск C, режим сканирования - полный.
Похоже, что Malwarebytes нашла его в:

...Temp\0546480318218572.exe (Exploit.Drop.2)

[Никита Соловьев]

Вот он и есть:

c:\documents and settings\Dmitriy\local settings\Temp\0.546480318218572.exe (Exploit.Drop.2) -> No action taken.

Удалите с помощью МВАМ этот файл, загрузите зараженную ОС и сделайте новый комплект логов

[Handino]

Nephilim, огромное Вам спасибо!

Реестр почистил Рег органайзером, систему проверил утилитой Dr.Web Curelt.
Система работает стабильно.

Сделал копию этого вируса - сейчас разошлю его по лабораториям Касперского и Доктора Веба, их утилиты так до сих пор этот вирус обнаружить не могут. Установленный у меня Аваст тоже не видит вируса .

Не знал о существовании такой супер-утилиты, как MBAM, зря, наверное, на сайте говорится, что после её однократного использования лучше её удалить. По крайней мере она справилась с тем, что не удалось очень известным антивирусным утилитам.

Комплект логов сделал, посмотрите, пожалуйста, может быть что-то удалить нужно из системы.

Да, и хочу предостеречь всех от посещения сайта, где поймал этот вирус:

[Никита Соловьев]

Сделал копию этого вируса

Пришлите и нам В зип-архиве с паролем virus по ссылке прислать запрошенный карантин вверху этой темы.

Не знал о существовании такой супер-утилиты, как MBAM, зря, наверное, на сайте говорится, что после её однократного использования лучше её удалить.

Зря или нет, но процент ложных срабатываний у неё велик. Поэтому мы просим ничего не удалять без предварительной консультации. В этом случае она оказалась полезной.

В логах чисто.

[Handino]

Файл отправил.

0.546480318218572.zip

Огромное спасибо за помощь!

[Никита Соловьев]

0.546480318218572.zip

Спасибо.

[Handino]

В общем система работает стабильно, только вот какая проблема останется после удаления вируса: не загружается ни один из безопасных режимов.

Решил эту проблему так:
1. Для начала включил восстановление системы (восстановление системы, согласно правил, было отключено для сбора информации)
Пуск - Производительность и обслуживание - Система - Отключить галочку Отменить восстановление системы - Применить

2. Запустил утилиту AVZ
Далее Файл - Восстановление системы - поставить галочку в пункте 10. Восстановление настроек загрузки в SafeMode - Выполнить отмеченные операции - Да

После работы AVZ все Безопасные режимы загружаются без проблем.

Думаю, эта информация будет полезна тем, кто столкнётся с этим вирусом и в итоге найдёт эту тему.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\0.546480318218572.exe - Trojan-Ransom.Win32.Fullscreen.ka ( DrWEB: Trojan.KillProc.9299, BitDefender: Trojan.Generic.6168514 )