-
Junior Member
- Вес репутации
- 52
Третьи сутки борьбы с трояном-вымогателем. Помогите, пожалуйста.
Здравствуйте. В общем, кратко. На компьютере стоит Windows XP, на днях поймал троян-вымогатель "Internet Security", на его предложение отослать sms сделал грубую перезагрузку. В результате чего компьютер перестал включаться. Т. е. он включается, но даже загрузка BIOS не идет, монитор как будто не видит компьютер.
Подсоединил хард к работающей машине, проверил его KIS 9, в результате чего было удалено несколько *.dll в папке %system32% под предлогом "Packed.Win32.Krap.w", также почистил папки Temp в Local Settings у User и Administrator. Подсоединил к исходной машине.
Виндоус запустился. Скачал Virus Removal Tool, проверил ею. Все чисто. Однако на попытки запустить диспетчер задач или редактор реестра компьютер ругался, выдавая, что сии действия запрещены администратором.
Начал оформлять заявку по правилам, дошло дело до отключения восстановления системы, как я обнаружил, что она уже (!) отключена (какой-то групповой политикой), хотя раньше была включена. Ну и потом CureIt! при сканировании в безопасном режиме обнаружил в %system32% некий sdra64.exe, а затем, обозвав его Пандой, удалил.
Немного напуганный, я оформил отчет и отправляю его вам в надежде на помощь
Последний раз редактировалось piq; 03.02.2010 в 03:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог согласно п.2 раздела Диагностика.
Сделайте лог Gmer
Последний раз редактировалось Bratez; 03.02.2010 в 09:46.
Причина: дополнил маленько ;)
-
-
Junior Member
- Вес репутации
- 52
После выполнения указанного скрипта в AVZ компьютер действительно сам перезагрузился, но после этого включился не сразу (та же проблема, что и в предыдущем посте), помогло n-кратное нажатие "reset".
Widows запустилась, разблокировался диспетчер устройств и редактор реестра, да и Восстановление системы теперь "в данный момент отключено".
Выполнил, в соответствии с п. 2 раздела "Диагностика", еще раз скрипт, лог прилагается.
На все попытки запустить Gmer в конце загрузки программы вылетала ошибка с предложением "отправить отчет". (Все фаерволы\антивирусы были выгружены) Не помог даже запуск в безопасном режиме. При запуске безопасного режима также был обнаружен все тот же "запрет администратором" на запуск редактора реестра и диспетчера задач. Крыша едет)
-
файл c:\windows\system32\drivers\atapi.sys - надо заменить на чистый из дистрибутива
скачайте утилиту tdsskiller и проверьтесь ей. После проверки попробуйте снова сделать лог Gmer.
Последний раз редактировалось polword; 03.02.2010 в 15:59.
Причина: добавление
-
-
Junior Member
- Вес репутации
- 52
"Не удается создать файл atapi.sys" *cry*
tdsskiller выдал все нули
Последний раз редактировалось piq; 03.02.2010 в 17:24.
-
как создаете atapi.sys?
старый уже удалили или еще нет?
Последний раз редактировалось polword; 03.02.2010 в 17:50.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
-
старый файл сохранился?
Если да, запакуйте его в zip-архив с паролем virus
и загрузите через ссылку Прислать запрошенный карантин вверху темы
Последний раз редактировалось polword; 03.02.2010 в 18:08.
Причина: поправил
-
-
Junior Member
- Вес репутации
- 52
у меня он да, сохранился и остался там же, где был.
новый не хочет вставать на его место..(
а если подсоединить винчестер к другому компьютеру, и там все сделать?
-
Скачайте Live CD Dr.Web тут и пролечите машину.
После будем думать дальше.
-
-
Junior Member
- Вес репутации
- 52
Запрашиваемый файл отослан.
Кстати, Windows теперь нормально перезагружается!
Последний раз редактировалось piq; 03.02.2010 в 18:39.
Причина: Мысль вспомнилась..
-
загрузитесь с LiveCD, замените файл C:\WINDOWS\system32\Drivers\atapi.sys на чистый из дистрибутива.
попробуйте после повторить лог gmer
-
-
Junior Member
- Вес репутации
- 52
polword, Live CD ничего противозаконного не нашел, atapi.sys удачно поменялся на чистый, из дистрибутива. Однако Gmer по-прежнему выдает ошибку в конце запуска.
-
- Сделайте повторный лог по правилам п.2 раздела Диагностика.
-
-
Junior Member
- Вес репутации
- 52
Повторный лог сделан!
Сегодня также сделал "Полную проверку" KIS 2010 с обновленными базами. Результат: "Угрозы не обнаружены"
-
файл atapi.sys - не заменился.
загрузитесь с LiveCD, замените файлы C:\WINDOWS\system32\Drivers\atapi.sys а также C:\WINDOWS\system32\dllcache\atapi.sys на чистый из дистрибутива. Повторите лог п.2 раздела Диагностика.
можете скачать файл тут
Последний раз редактировалось polword; 04.02.2010 в 20:45.
Причина: добавил
-
-
Junior Member
- Вес репутации
- 52
Поставил Ваш atapi.sys
Проверил AVZ согласно п. 2 раздела "Диагностика", сначала где-то в середине диагностики машина перезагрузилась, когда включилась, выдало сообщение "Windows восстановлена после серьезной... бла-бла", вторая диагностика прошла удачно, лог прилагается.
-
Junior Member
- Вес репутации
- 52
Замучился уже
-
Скачайте такую утилитку и провертесь ей
попробуйте сделать такой лог Combofix
-
-
Выполнить:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
BC_ServiceKill('mparaf');
BC_Activate;
RebootWindows(true);
end.
Повторить станд. скрипт №2. Прислать лог.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-