Блокиратор Winndows Depatrment of Justice MoneyPak [Trojan.Win32.Patched.pp ]

[Bruzon]

Обычно я сам справляюсь, но тут вынужден просить о помощи, так как потерял надежду избавиться от этого баннера без переустановки винды. У меня Windows 7 64 Ultimate. При загрузке системы вылезает баннер от якобы системы безопасности США и просит уплатить 300 долларов куда-то там. Никаких номеров телефона нет. Просто окошко для ввода кода внизу. Это просто флеш-баннер, он не сворачивается, я слышу, что фоном загружается и работает Скайп, я появляюсь у других в сети - значит, он не блокирует инет. Первым делом я тут же воспользовался утилитой Kaspersky Rescue Disc 10, создал загрузочную флешку, успешно с нее загрузился, просканировал компьютер полностью. Каспер нашел 2 каких-то угрозы, но после рестарта баннер так и не исчез.
Далее я полез в реестр через тот же самый rescue disk 10. До этого пытался рестартить винду в безопасном режиме, но она выпадала в синий экран, что для меня было полной неожиданностью! В реестре ничего подозрительного не нашел, никаких странных значений, никаких shell, как написано во многих руководствах.
HKEY_USERS\​SOFTWARE\​Microsoft\​Windows NT\​CurrentVersion\​Winlogon
HKEY_USERS\​​SOFTWARE\​Microsoft\​Windows\​Current Version\​Run в этих разделах ничего подозрительного!
Помогите, пожалуйста! Никакими процедурами не могу заставить этот экран убраться, видимо он маскируется под системный файл. Я к тому же через диспетчер файлов почистил папки temp и startup - тоже не помогло, в них не было никаких экзешников. Как мне отловить и увидеть этот процесс? Какие еще есть способы, кроме Kaspersky Rescue Disc 10? Еще использовал сканер Hitman, он даже запустился поверх баннера и отсканировал комп, но ничего не нашел, баннер так и висит! Сколько уже видео просмотрено на ютубе и форумов перерыто, надеюсь на вашу помощь!

[Info_bot]

Уважаемый(ая) Bruzon, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Где экспорт веток реестра?

[Bruzon]

Простите, вот они. Значение userinit - C:\windows\system32\userinit.exe
shell explorer.exe

Еще заметил что при перезагрузке винды с экраном она ругнулась на незавершенный процесс Police Report - видимо, это и есть тот самый блокиратор.

[thyrex]

Экспорт делали с помощью Kaspersky Registry Editor?
Содержимое папки windows\system32\tasks сообщите

[Bruzon]

Да, с помощью Kaspersky Registry Editor.
В папке tasks следующее:
папка Microsoft
папка WPD

файлы:
{1FEE514-FFBB-4A80-A797-C76DEAC5153B}
Adobe Flash player Updater
AdobeAAMUpdater
CCleanerSkipUAC
GoogleUpdateTaskMachineCore
GoogleUpdateTaskMachineUA
Red Giant Link

[thyrex]

А в папке ProgramData нет никаких неизвестных файлов?

[Bruzon]

Там только ntuser.dat-файлы и ament.ini файл - экзешников нет.
Баннер вылез когда я серфил в опере. Причем, после этого случая опера закрашилась так, что пришлось ее удалить через анинсталл. Баннер тоже пропал сам как-то. То есть при первом его появлении я мог комбинацией alt+TAB переключаться между окнами программ. Потом я поставил новую оперу 64 бит, работает она нормально. Но после перезагрузки компа баннер вылез уже окончательно и бесповоротно, никак не обойти.

[mike 1]

Сделайте полный образ автозапуска uVS (http://virusinfo.info/showthread.php?t=121985)

[Bruzon]

Сделал. Пытаюсь сохранить образ автозапуска в текстовый файл.

[mike 1]

Где лог UVs, который я просил сделать?

[Bruzon]

я прикрепил к сообщению выше, это то или не то?

[mike 1]

Выполните скрипт в UVs (http://virusinfo.info/showthread.php?t=122012)

Код:

;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.2

zoo %Sys32%\COMPMGMTLAUNCHER.EXE
zoo %Sys32%\GATHERNETWORKINFO.VBS
zoo %Sys32%\USERINIT.EXE
zoo %SystemRoot%\SYSWOW64\USERINIT.EXE
zoo %SystemRoot%\EXPLORER.EXE
zoo %Sys32%\WINLOGON.EXE
czoo
deltmp

После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)

Архив ZOO_2011-06-30_22-04-27.7z пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

[Bruzon]

Скопировал скрипт в текстовый файл, открыл как по инструкции через uVS, он пишет мне "Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено!"
Скопировал все точно, я проверял. Сохранил как текстовый документ в формате txt.
Проверку скрипта делал, пишет "неизвестная команда в строке 1"

[regist]

Bruzon, скачайте отсюда текстовый файл со скриптом и выполните скрипт uVS из этого файла.

После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите папку ZOO, заархивируйте её в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

[Bruzon]

Загрузил карантин. Первый скрипт не выполнялся, потому что в нем не было строки
OFFSGNSAVE.
Спасибо! Я теперь могу пробовать загрузить систему?

Попробовал загрузить.
Баннер появляется ненадолго, затем исчезает, остается голый рабочий стол, виден только гаджет погоды. На нажатия мыши не реагирует, диспетчер задач вызывается, но не виден. Панели управления тоже нет. В общем, эффект такой, будто бы он есть.

[thyrex]

Файлы только брались в карантин. Они чистые

- - - Добавлено - - -

Попробуйте еще сделать экспорт веток HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run и аналогичную ветку в разделе HKEY_USERS\<Имя проблемной учетки>

[Bruzon]

Вот я попал... Эти ребята, что делают эти баннеры совершенствуют свои навыки, маскируют червей. И главное что я попал на эту новинку, никогда ведь ничего серьезного не ловил. А тут работать надо, а ноут под влиянием неуловимого червя. Причем, все работает - системные процессы, скайп автоматом запускается - я появляюсь в сети у друзей, но увы.
Как же быть? Сносить винду или восстанавливать с диска? Поможет ли? Как же он запускается с системой, но нигде не проявляет себя? Еще заметил, что процесс называется Police Report - я как то раз нажал "выйти из системы" и она ругнулась на то, что невозможно выйти из-за незавершенного процесса "Police Report". Это название никак не поможет найти зверя?

Блин, теперь перестал запускаться Kaspersky Rescue Disk 10 через флешку! Полный вперед, он же у меня работал! Теперь при загрузки с флеш-девайса мелькает надпись какая то и начинает винда грузиться. Чем мне экспорт реестра-то сделать?

[thyrex]

невозможно выйти из-за незавершенного процесса "Police Report"

Увы, нет

Чем мне экспорт реестра-то сделать?

Сделайте загрузочный диск

[regist]

Bruzon, выполните в uVS ещё скрипт из этого файла, если банера после перезагрузки нет, то сделайте стандартные логи по правилам. Если не получится попытайтесь в безопасном режиме.