Последствия вымогателя

[Kandrat]

Подхватил вымагателя, вылетила табличка internet Security и блокировка системы. Подобрал код активации. Табличка перезтала вылазить, но спецэфекты остались. Пытался заниматься самолечением, результатов не принесло. Нашел siszyd32.
Симптомы: после загрузки недоступны диски не запускаются проги с рабочего стола, диспетчер задач недоступен, недоступна строка с кнопкой пуск. Примерно минут через 15 - 20 звучит звуковой сигнал системника и комп отвисает. Все становиться доступно.

Как с этим бороться?

[Kandrat]

Как светла, как нарядна весна...
Посмотри мне в глаза как бывало
И скажи почему ты грусна
Почему мне так радосто стало

Добавлено через 9 часов 56 минут

Но молчишь ты, слаба как цветок
О молчи, мне ненадо признанья
Я узнал эту ласку прощанья
Я опть одинок....

[миднайт]

Хорошие стихи
C:\Program Files\KYE\WebMate\BM.exe - эта программа знакома?
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В HiJackThis пофиксите:

Код:

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
 DeleteFile('C:\WINDOWS\system32\winsys2.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinSys2');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteWizard('TSW',2,2,true);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[Kandrat]

Жаль что стихи не мои )))

C:\Program Files\KYE\WebMate\BM.exe - убил, и HijackThis пофиксил

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe - тоже пофиксил



Результат загрузкиФайл сохранён как 100117_132823_quarantine_4b52e6471dc0e.zip
Размер файла 101040
MD5 ad14823b9f212bf3e3c3fac79db9151f

Файл закачан, спасибо!

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Help\wschelp.chm:SXKcBtIAf3v1:$DATA','');
DeleteFile('C:\WINDOWS\Help\wschelp.chm:SXKcBtIAf3v1:$DATA');
QuarantineFile('C:\WINDOWS\Help\wschelp.chm:SXKcBtIAf3v1','');
DeleteFile('C:\WINDOWS\Help\wschelp.chm:SXKcBtIAf3v1');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67456).
Сделайте новые логи.
Что с проблемами?

[Kandrat]

Скрипт выполнил

Карантин переслал

Основные симптомы остались без изменений. После загрузки Винды есть секунд 10 после чего активируется вирус и блокирует диспетчер задач, диски, строку с кнопкой "Пуск". В правом нижнем углу экрана появляется черная табличка (см. скрин)

[миднайт]

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\Help\wschelp.chm:SXKcBtIAf3v1:$DATA','');
 QuarantineFile('C:\Program Files\KYE\WebMate\BM.exe','');
 QuarantineFile('C:\Documents and Settings\Хозяин\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
 DeleteFile('C:\Documents and Settings\Хозяин\Главное меню\Программы\Автозагрузка\siszyd32.exe');
 DeleteFile('C:\WINDOWS\Help\wschelp.chm:SXKcBtIAf3v1:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи с обновленными базами из обычного режима а не из безопасного!

[Kandrat]

Карантин выслал. Пока все без явных изменений

[миднайт]

Пофиксите в Hijackthis:

Код:

O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing

сделайте лог Gmer
Сделайте лог MBAM

[PavelA]

Лог Гмера сделайте.

[Kandrat]

Пофиксил.

Пока все без изменений.

[миднайт]

Удалите в MBAM:

Код:

Заражено ключей реестра:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.

C:\RECYCLER\S-1-5-21-725345543-1454471165-682003330-1001\Dc9\Quarantine\2010-01-13\avz00013.dta (Worm.KoobFace) -> No action taken.
D:\System Volume Information\_restore{661BEE9E-861D-4586-942E-C11B56E55696}\RP1\A0000001.exe (Malware.Packer.T) -> No action taken.
D:\System Volume Information\_restore{661BEE9E-861D-4586-942E-C11B56E55696}\RP1\A0000003.dll (Malware.Packer.T) -> No action taken.
C:\Documents and Settings\Наташ\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Хозяин\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Хозяин\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
D:\System Volume Information\_restore{661BEE9E-861D-4586-942E-C11B56E55696}\RP22\A0000738.dll (Malware.Packer.T) -> No action taken.
D:\System Volume Information\_restore{661BEE9E-861D-4586-942E-C11B56E55696}\RP8\A0000284.dll (Malware.Packer.T) -> No action taken.

Повторите лог MBAM.
Запустите Gmer. При предварительном сканировании (сразу после запуска) программа должна показать такие строчки

Код:

Disk   \Device\Harddisk0\DR0  sector 32: rootkit-like behavior; copy of MBR
Disk   \Device\Harddisk0\DR0  sector 63: rootkit-like behavior; copy of MBR

Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое 32 и 63 секторов в каком-нибудь каталоге.
Пришлите содержимое секторов по правилам. (если файл окажется пустой сообщите.)

[Kandrat]

Удалил указанные строки в MBAM

Удалось повторить логи MBAM.

Авот дальше начались сложности. При предварительном сканировании Gmer не выдает эти строки...
Код:
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

Зато появились новые спецэфекты. Если раньше через 10 -15 минут комп разблокировался, то теперь комп начал сильно тупить. Запустив Диспетчер задач (через msconfig) обнаружил два процесса которые грузят ЦП на 100%, по 50% каждый.
В первом варианте это были:
lsass и csrss
через несколько перезагрузок два других процесса
ashServ и winlogon
загрузка ЦП та же 100% по 50% на каждый

Пробывал выполнить полную проверку Gmer-ом. Процесс сканирования заканчивается на полуподвисшем компе. Тоесть уже практически ничего не работает кроме Gmer-а. Строки описанные выше вижу но при нажатии на них мышкой Gmer перестает откликаться. А через некоторое время перезагрузка через синий экран.

[миднайт]

Удалите в MBAM:

Код:

Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Not selected for removal.

Делайте полное сканирование гмер из безопасного режима и копируйте 32 и 63 секторы.

[Kandrat]

- "Делайте полное сканирование гмер из безопасного режима и копируйте 32 и 63 секторы."

При попытке выполнить сканирование в безопасном режиме, все заканчивалось синим экраном... Побывал четыре раза...

[Kandrat]

Переставил винду. Посмотрите логи плиз...

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
 DelBHO('{00000000-6E41-4FD3-8538-502F5495E5FC}');
 DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
 QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
 DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
 DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
 DeleteFile('C:\windows\Tasks\Scheduled Update for Ask Toolbar.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[Kandrat]

Скрипт выполнил. Логи приложил. Карантин пустой.

[миднайт]

Ничего вредоносного не обнаружил.

[Kandrat]

Благодарю за помощь...