Непобедимый блокиратор

[Владимир Сафронов]

Доброго времени суток!
Не могу справиться с блокиратором. Система заблокирована полностью, через безопасный режим зайти не удается. Пробовал подобрать код разблокировки на Dr.Web, не получилось, проблема в том, что вирус не требует отправить смс с текстом на номер, просто требует положить денег через терминал на счет. Снимал жесткий, ставил на рабочий комп и прогонял антивирями. AVZ не увидел ничего, CureIt нашел но не то, Nod32 тоже всё тихо. Поставил жесткий на место. Попробовал с LiveCD проверить, порядка 7 часов он упорно трудился, нашел и удалил кучу разной ерунды но результат нулевой, система всё еще заблокирована. Последнее что пробовал это загрузиться через ERD Commander и почистить реестр. Вроде всё выполнил как в учебнике, но после перезагрузки опять всё по новой.

[миднайт]

Доброй ночи.
I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP - версия 2005 (5.0), для Vista - версия 2007 (6.0), для Windows 7 - версия 2009 (6.5)). Ссылки ищите в Google, например.
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь
При загрузке Вы должны указать диск, на который установлена заблокированная система (образец)
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

параметр

Код:

shell

Значения этих параметров напишите в своем сообщении

[Владимир Сафронов]

userinit-> C:\WINDOWS\system32\userinit.exe
shell-> C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

[миднайт]

1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с сис-темы, аналогичной заблокированной)
2. Загрузиться с Live CD
3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache),
4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
5. Исправляете параметры: shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано [тут буква вашего диска и путь к системе] C:\WINDOWS\system32\userinit.exe,) (включая запятую!).

Пробуйте стартовать в проблемной системе

Если загрузка пройдет успешно, не торопитесь уходить. Вполне возможно, что будут остатки, которые нужно будет добивать

[Владимир Сафронов]

Систему загрузить удалось. Куда нужно смотреть и какие остатки добивать?

[миднайт]

Теперь сделайте логи AVZ, согласно правил.
+ Сделайте лог полного сканирования MBAM

[Владимир Сафронов]

Очень сильно тормозит система. Браузер крайне медленно грузит страницу.

[crush13]

Владимир Сафронов, здравствуйте.
В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\one\application data\netprotocol.exe');
 QuarantineFile('C:\WINDOWS\system32\dllcache\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\windebug32.exe','');
 QuarantineFile('C:\Program Files\Common Files\msadco40.tlr','');
 QuarantineFile('C:\Documents and Settings\one\Application Data\netprotocol.exe','');
 QuarantineFile('c:\documents and settings\one\application data\netprotocol.exe','');
 DeleteFile('c:\documents and settings\one\application data\netprotocol.exe');
 DeleteFile('C:\Documents and Settings\one\Application Data\netprotocol.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
 DeleteFile('C:\Program Files\Common Files\msadco40.tlr');
 DeleteFile('C:\WINDOWS\system32\windebug32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll','REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

удалите в MBAM все строки, кроме этих:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
c:\backup\nero\keygen.exe (Malware.Packer.Gen) -> No action taken.
c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.

Проверьте, что с проблемой.
Логи повторите

[Владимир Сафронов]

Система продолжает работать медленно. Плюс вместо страниц в браузерах загружается исходный код. Жестко зараза зацепила.

[crush13]

1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- Обязательно!!! Отключить системное восстановление!!! как - посмотреть можно здесь;
- Выгрузите антивирус и/или Файрвол;
- Пофиксите в HJT:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\swrxplm.dll

- Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\dllcache\userinit.exe','');
 QuarantineFile('C:\DOCUME~1\one\LOCALS~1\Temp\Ww90ou2L.sys','');
 QuarantineFile('C:\WINDOWS\system32\swrxplm.dll','');
 DeleteFile('C:\WINDOWS\system32\swrxplm.dll');
 DeleteFile('C:\WINDOWS\system32\dllcache\userinit.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;
4. Сделайте повторные логи по правилам п.2 и п.3 раздела "Диагностика" (virusinfo_syscheck.zip; hijackthis.log).

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - Обновите IE, даже если Вы его не используете.

[Владимир Сафронов]

Всё выполнил, обновляю IE/

[thyrex]

Что с проблемой?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 21
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\one\\application data\\netprotocol.exe - Trojan-Dropper.Win32.Aspxor.ap ( DrWEB: BackDoor.Butirat.21, BitDefender: Trojan.Clicker.NAM, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Agent-ANCV [Trj] )
  2. c:\\windows\\system32\\dllcache\\userinit.exe - Trojan-Ransom.Win32.PornoAsset.anj ( DrWEB: Trojan.Packed.22288, BitDefender: Gen:Variant.Kazy.31981, AVAST4: Win32:Malware-gen )
  3. c:\\windows\\system32\\swrxplm.dll - Trojan.Win32.Agent.huxt ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6363482, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Monder-KO [Trj] )
  4. c:\\windows\\system32\\windebug32.exe - Trojan-Downloader.Win32.Agent.sunb ( DrWEB: Trojan.PWS.Turist.1, BitDefender: Trojan.Generic.6684755, NOD32: Win32/Spy.Ranbyus.D trojan, AVAST4: Win32:Agent-ANGM [Drp] )