Баннер на рабочем столе

**DoubleD** · 06.07.2011, 14:41

Здравствуйте. Обращаюсь к вам вновь с новой проблемой. Появился баннер на весь рабочий стол. На подозрительные сайты уже не захожу давно, как словил - не знаю. Ни логов, ни сканов сделать не могу т.к. Все заблокировано. Помогите пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.07.2011, 14:42

Уважаемый(ая) DoubleD, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 06.07.2011, 15:03

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP - версия 2005 (5.0), для Vista - версия 2007 (6.0), для Windows 7 - версия 2009 (6.5)). Ссылки ищите в Google, например.
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь
При загрузке Вы должны указать диск, на который установлена заблокированная система (образец)
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

параметр

Код:

shell

Значения этих параметров напишите в своем сообщении

**DoubleD** · 06.07.2011, 17:04

Скачал утилиту, записал образ на диск, в Биосе выбрал СД-ром, сохранил. При запуске мигающая строка прошла и после нее обычная загрузка Виндовс с вирусом... В чем проблема?

Добавлено через 54 минуты

Ап

**миднайт** · 06.07.2011, 18:31

Скачали именно ту версию, которая соответствует Вашей системе?

**Nikkollo** · 06.07.2011, 18:41

Как именно записали образ?
Нужно создать из него загрузочный диск, а не просто положить на болванку.
Например в Неро - меню Рекордер - Записать образ.

**DoubleD** · 06.07.2011, 20:00

На зараженном компьютере стоит Xp sp3, вот и качал версию 2005
Записал образ правильно, через программу NTI. Сейчас попробую перезаписать еще раз...

Добавлено через 50 минут

Параметр userinit:
C:\WINDOWS\system32\userinit.exe,

Параметр shell:
C:\Documents and Settings\All users\Application Data\22CC6C32.exe

**Nikkollo** · 06.07.2011, 21:12

1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с сис-темы, аналогичной заблокированной)
2. Загрузиться с Live CD
3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache),
4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
5. Исправляете параметры: shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано [тут буква вашего диска и путь к системе] C:\WINDOWS\system32\userinit.exe,).

Пробуйте стартовать в проблемной системе и сделать логи по правилам

**DoubleD** · 07.07.2011, 00:37

Сообщение от Nikkollo

1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с сис-темы, аналогичной заблокированной)
2. Загрузиться с Live CD
3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache),
4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
5. Исправляете параметры: shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано [тут буква вашего диска и путь к системе] C:\WINDOWS\system32\userinit.exe,).

Пробуйте стартовать в проблемной системе и сделать логи по правилам

Нету у меня ни дистрибутива, ни компьютера с аналогичной системой. И как поступать далее?

Добавлено через 1 час 32 минуты

Скинул данные файлы один добрый человек. Теперь выполняю действия выше.

**DoubleD** · 07.07.2011, 01:15

Вобщем, все сделал как нужно.
Прикрепляю логи:

**DoubleD** · 07.07.2011, 12:03

Апну.

**Nikkollo** · 07.07.2011, 13:26

Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Выполните скрипт в AVZ (как выполнить):

Код:

procedure FixServiceStart(ServiceName:string;);
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName) then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName);
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\' + ServiceName + ' исправлено на оригинальное.');
   if (RegKeyIntParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'Start') = 0) then
    begin
    RegKeyIntParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName,'Start', 2);
    AddToLog('Тип запуска службы ' + ServiceName + ' переведен в режим Авто.');
   end;
  end;
 end;
end;
begin
 FixServiceStart('wuauserv');
 DeleteFile('C:\WINDOWS\system32\cpldapu\produkey.exe');
end.

Повторите лог virusinfo_syscheck.zip и приложите в теме.

**DoubleD** · 07.07.2011, 15:01

Вот

**миднайт** · 07.07.2011, 16:01

Старый лог прикрепили.

**DoubleD** · 07.07.2011, 16:45

Сейчас...

**DoubleD** · 07.07.2011, 16:54

пожалуйста.

**миднайт** · 07.07.2011, 18:05

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Macromedia\swfupdate\swfupdate.dll','');
BC_ImportAll;
BC_QrFile('C:\Documents and Settings\All Users\Application Data\Macromedia\swfupdate\swfupdate.dll');
BC_Activate;
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%systemroot%\system32\svchost.exe -k netsvcs');
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

**DoubleD** · 08.07.2011, 02:11

Прислал.

Добавлено через 5 часов 40 минут

Ап.

Добавлено через 2 часа 17 минут

Мда, уже не смешно становится. Поймал еще вирус - Ddox.ci

**миднайт** · 08.07.2011, 03:06

Где вы ухитряетесь их ловить ума не приложу.
Подождите до завтра, нужен ответ аналитика по файлу. Неоднозначен.
Сделайте полное сканирование с помощью avptool и это http://support.kaspersky.ru/faq/?qid=208639606

**DoubleD** · 08.07.2011, 14:54

Делаю полную проверку в Kaspersky Virus Removal Tool.
TDSSKiller обнаружил только одну угрозу со стороны sptd.sys

Логи сделать?

Баннер на рабочем столе (заявка № 105246)

Опции темы