Блокировка всего, окно поверх.

[murella]

Перезагрузился комп, вылезло окно наиболее схожее с Trojan.Winlock 100/Trojan.Winlock97 по классификации с дрв. Телефон 8353, код 7488015 - стандартно.
Коды ни с дрв ни с касперского не помогли.
В безопасном режиме удалось загрузиться один раз с одной из двух административных учеток, далее блок пошел и там.
В корне каждого раздела, кроме того, на котором установлена система, есть autorun.inf и md.exe.
На данный момент сижу с резервной винды на другом разделе, логи, соответственно, с поблоченной винды снять не могу. Могу выслать заархивированные ауторан и мд, в которых информация все же есть.
Ауторан содержит текст:

[AutoRun]
label=Съемный диск
action=Открыть папку для простмотра файлов
useautoplay=1
icon=C:\WINDOWS\system32\shell32.dll,4
shellexecute=md.exe
shell\auto=&Автозапуск
shell\auto\comand=md.exe
shell\open=&Открыть
shell\open\command=md.exe
shell\explore=&Проводник
shell\explore\comand=md.exe
shell\explore=&Найти
shell\find\comand=md.exe
[AutoRun]
label=Съемный диск
action=Открыть папку для простмотра файлов
useautoplay=1
icon=C:\WINDOWS\system32\shell32.dll,4
shellexecute=md.exe
shell\auto=&Автозапуск
shell\auto\comand=md.exe
shell\open=&Открыть
shell\open\command=md.exe
shell\explore=&Проводник
shell\explore\comand=md.exe
shell\explore=&Найти
shell\find\comand=md.exe

в сборке тотал коммандера можно узнать какую-то инфу про мд, если надо, могу копировать. В частности, удается установить, что он влияет на GDI32.dll, Kernel32.dll и USER32.dll из system32.

Есть болванка с ЕРДкоммандером, но он тормозит ТАК, что проще сделать бэкап настроек и переустановить винду на том разделе, чего делать категорически не хочется.

Еще очень подозрительным кажется файл D:\Documents and Settings\одмин\ip.txt, содержащий информацию о настройках подключения и т.д. Уточню, что содержится только в папке учетки вирусованной винды.

Настройка протокола IP для Windows



Имя компьютера . . . . . . . . . : *вырезано*

Основной DNS-суффикс . . . . . . :

Тип узла. . . . . . . . . . . . . : *вырезано*

IP-маршрутизация включена . . . . : *вырезано*

WINS-прокси включен . . . . . . . : *вырезано*

Порядок просмотра суффиксов DNS . : *вырезано*



Подключение по локальной сети - Ethernet адаптер:



DNS-суффикс этого подключения . . : *вырезано*

Описание . . . . . . . . . . . . : *вырезано*

Физический адрес. . . . . . . . . : *вырезано*

Dhcp включен. . . . . . . . . . . : *вырезано*

Автонастройка включена . . . . . : *вырезано*

IP-адрес . . . . . . . . . . . . : *вырезано*

Маска подсети . . . . . . . . . . : *вырезано*

Основной шлюз . . . . . . . . . . : *вырезано*

DHCP-сервер . . . . . . . . . . . : *вырезано*

DNS-серверы . . . . . . . . . . . : *вырезано*

Аренда получена . . . . . . . . . : *вырезано*

Аренда истекает . . . . . . . . . : *вырезано*



фуфлонет - PPP адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : *вырезано*

Физический адрес. . . . . . . . . : *вырезано*

Dhcp включен. . . . . . . . . . . : *вырезано*

IP-адрес . . . . . . . . . . . . : *вырезано*

Маска подсети . . . . . . . . . . : *вырезано*

Основной шлюз . . . . . . . . . . : *вырезано*

DNS-серверы . . . . . . . . . . . : *вырезано*

*вырезано*

NetBIOS через TCP/IP. . . . . . . : *вырезано*

PS: простите за довольно дебильные объяснения - почти 9 утра, мозги не варят и тянет на тупые пафосные речи.

[DefesT]

Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb (ftp://ftp.drweb.com/pub/drweb/livecd...veCD-5.0.0.iso) или Rescue Disc от Kaspersky Lab (http://devbuilds.kaspersky-labs.com/...escue_2008.iso). Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь (http://virusinfo.info/showpost.php?p=557652&postcount=5), после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.

[murella]

Касперский не видит ни одного раздела, а дрв вообще не загружается ни в графическом ни в текстовом режиме, показывая мерцающий черный экран после того как загрузится.
Кашпировский на одной из стадий загрузок предлагает переделать файловую систему, которая была создана перед установкой венды акронисом. Ага, убить файловую систему со всеми данными, чтобы перевести ее в пригодный для недопиленного линукса вид для последующей проверки. Прелестно!
Им фат с экстами подавай что ли?!

[DefesT]

Попробуйте обратиться к контент-провайдеру "Первый Альтернативный".

[murella]

Код подобран, теперь появились другие стандартные проблемы:
-начисто отсутствует какое-либо содержимое рабочего стола, то есть explorer.exe, судя по всему, вырублен.
-конечно же, недоступен диспетчер задач.

Пробовала прописать в автозагрузку тотал для использования вместо оболочки, но толку это не дало - он не запустился. Соответственно, по прежнему не могу снять логи.

UPD: система восстановлена.
По прежнему нет доступа к диспетчеру задач.
Сделано сканирование.

[DefesT]

Отключите восстановление системы!!!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
 QuarantineFile('F:\md.exe','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('E:\md.exe','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('D:\md.exe','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\user32.exe','');
 QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
 QuarantineFile('c:\windows\system32\netprotocol.dll','');
 DeleteFile('c:\windows\system32\netprotocol.dll');
 DeleteFile('C:\WINDOWS\system32\user32.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\md.exe');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\md.exe');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\md.exe');
 DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(8);
ExecuteRepair(11);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

[murella]

логи

[DefesT]

В логах ничего плохого. Обновите Internet Explorer до 8 версии

[murella]

В логах ничего плохого. Обновите Internet Explorer до 8 версии

Каков смысл данного действия, если ИЕ не использую в принципе? Лиса с аддонами для блока всякой дряни, в редких случаях опера.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 28
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\netprotocol.dll - Backdoor.Win32.Buterat.eh ( DrWEB: Trojan.Packed.19647 )
  2. c:\windows\system32\user32.exe - Trojan-Ransom.Win32.Chameleon.bt ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@ai9FRTdc, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Rootkit-gen [Rtk] )
  3. d:\autorun.inf - Trojan.Win32.AutoRun.ym ( NOD32: Win32/LockScreen.AX trojan )
  4. d:\md.exe - Trojan-Ransom.Win32.Chameleon.bt ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@ai9FRTdc, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Rootkit-gen [Rtk] )
  5. e:\autorun.inf - Trojan.Win32.AutoRun.ym ( NOD32: Win32/LockScreen.AX trojan )
  6. e:\md.exe - Trojan-Ransom.Win32.Chameleon.bt ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@ai9FRTdc, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Rootkit-gen [Rtk] )
  7. f:\autorun.inf - Trojan.Win32.AutoRun.ym ( NOD32: Win32/LockScreen.AX trojan )
  8. f:\md.exe - Trojan-Ransom.Win32.Chameleon.bt ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@ai9FRTdc, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Rootkit-gen [Rtk] )