Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Третьи сутки борьбы с трояном-вымогателем. Помогите, пожалуйста. (заявка № 70070)

  1. #1
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    13
    Вес репутации
    26

    Question Третьи сутки борьбы с трояном-вымогателем. Помогите, пожалуйста.

    Здравствуйте. В общем, кратко. На компьютере стоит Windows XP, на днях поймал троян-вымогатель "Internet Security", на его предложение отослать sms сделал грубую перезагрузку. В результате чего компьютер перестал включаться. Т. е. он включается, но даже загрузка BIOS не идет, монитор как будто не видит компьютер.

    Подсоединил хард к работающей машине, проверил его KIS 9, в результате чего было удалено несколько *.dll в папке %system32% под предлогом "Packed.Win32.Krap.w", также почистил папки Temp в Local Settings у User и Administrator. Подсоединил к исходной машине.
    Виндоус запустился. Скачал Virus Removal Tool, проверил ею. Все чисто. Однако на попытки запустить диспетчер задач или редактор реестра компьютер ругался, выдавая, что сии действия запрещены администратором.

    Начал оформлять заявку по правилам, дошло дело до отключения восстановления системы, как я обнаружил, что она уже (!) отключена (какой-то групповой политикой), хотя раньше была включена. Ну и потом CureIt! при сканировании в безопасном режиме обнаружил в %system32% некий sdra64.exe, а затем, обозвав его Пандой, удалил.

    Немного напуганный, я оформил отчет и отправляю его вам в надежде на помощь


    Вложения Вложения
    Последний раз редактировалось piq; 03.02.2010 в 03:27.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
    RebootWindows(true); 
    end.
    Компьютер перезагрузится.

    Сделайте новый лог согласно п.2 раздела Диагностика.

    Сделайте лог Gmer
    Последний раз редактировалось Bratez; 03.02.2010 в 09:46. Причина: дополнил маленько ;)

  4. #3
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    13
    Вес репутации
    26
    После выполнения указанного скрипта в AVZ компьютер действительно сам перезагрузился, но после этого включился не сразу (та же проблема, что и в предыдущем посте), помогло n-кратное нажатие "reset".

    Widows запустилась, разблокировался диспетчер устройств и редактор реестра, да и Восстановление системы теперь "в данный момент отключено".

    Выполнил, в соответствии с п. 2 раздела "Диагностика", еще раз скрипт, лог прилагается.

    На все попытки запустить Gmer в конце загрузки программы вылетала ошибка с предложением "отправить отчет". (Все фаерволы\антивирусы были выгружены) Не помог даже запуск в безопасном режиме. При запуске безопасного режима также был обнаружен все тот же "запрет администратором" на запуск редактора реестра и диспетчера задач. Крыша едет)
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    файл c:\windows\system32\drivers\atapi.sys - надо заменить на чистый из дистрибутива

    скачайте утилиту tdsskiller и проверьтесь ей. После проверки попробуйте снова сделать лог Gmer.
    Последний раз редактировалось polword; 03.02.2010 в 15:59. Причина: добавление

  6. #5
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    13
    Вес репутации
    26
    "Не удается создать файл atapi.sys" *cry*

    tdsskiller выдал все нули
    Последний раз редактировалось piq; 03.02.2010 в 17:24.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    как создаете atapi.sys?
    старый уже удалили или еще нет?
    Последний раз редактировалось polword; 03.02.2010 в 17:50. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    13
    Вес репутации
    26
    http://virusinfo.info/showthread.php?t=51654

    делаю все, как описано в этой теме форума.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    старый файл сохранился?
    Если да, запакуйте его в zip-архив с паролем virus
    и загрузите через ссылку Прислать запрошенный карантин вверху темы
    Последний раз редактировалось polword; 03.02.2010 в 18:08. Причина: поправил

  10. #9
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    13
    Вес репутации
    26
    у меня он да, сохранился и остался там же, где был.

    новый не хочет вставать на его место..(

    а если подсоединить винчестер к другому компьютеру, и там все сделать?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Скачайте Live CD Dr.Web тут и пролечите машину.
    После будем думать дальше.

  12. #11
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    13
    Вес репутации
    26
    Запрашиваемый файл отослан.

    Кстати, Windows теперь нормально перезагружается!
    Последний раз редактировалось piq; 03.02.2010 в 18:39. Причина: Мысль вспомнилась..

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    загрузитесь с LiveCD, замените файл C:\WINDOWS\system32\Drivers\atapi.sys на чистый из дистрибутива.
    попробуйте после повторить лог gmer

  14. #13
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    13
    Вес репутации
    26
    polword, Live CD ничего противозаконного не нашел, atapi.sys удачно поменялся на чистый, из дистрибутива. Однако Gmer по-прежнему выдает ошибку в конце запуска.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Сделайте повторный лог по правилам п.2 раздела Диагностика.

  16. #15
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    13
    Вес репутации
    26
    Повторный лог сделан!

    Сегодня также сделал "Полную проверку" KIS 2010 с обновленными базами. Результат: "Угрозы не обнаружены"
    Вложения Вложения

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    файл atapi.sys - не заменился.
    загрузитесь с LiveCD, замените файлы C:\WINDOWS\system32\Drivers\atapi.sys а также C:\WINDOWS\system32\dllcache\atapi.sys на чистый из дистрибутива. Повторите лог п.2 раздела Диагностика.
    можете скачать файл тут
    Последний раз редактировалось polword; 04.02.2010 в 20:45. Причина: добавил

  18. #17
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    13
    Вес репутации
    26
    Поставил Ваш atapi.sys

    Проверил AVZ согласно п. 2 раздела "Диагностика", сначала где-то в середине диагностики машина перезагрузилась, когда включилась, выдало сообщение "Windows восстановлена после серьезной... бла-бла", вторая диагностика прошла удачно, лог прилагается.
    Вложения Вложения

  19. #18
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    13
    Вес репутации
    26
    Замучился уже

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Скачайте такую утилитку и провертесь ей
    попробуйте сделать такой лог Combofix

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    BC_ServiceKill('mparaf');
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить станд. скрипт №2. Прислать лог.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) piq, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. «Доктор Веб» запустил новый проект для борьбы с трояном-блокировщиком Windows
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 12
      Последнее сообщение: 23.01.2010, 18:45
    2. Ответов: 8
      Последнее сообщение: 24.12.2009, 09:45
    3. Ответов: 11
      Последнее сообщение: 20.11.2009, 16:03
    4. Symantec борется с трояном-вымогателем
      От SDA в разделе Вредоносные программы
      Ответов: 9
      Последнее сообщение: 16.08.2009, 12:21
    5. Помогите пожалуйста справиться с Трояном
      От Ranger[USSR] в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.09.2008, 20:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01292 seconds with 21 queries