-
Junior Member
- Вес репутации
- 58
Помогите, кто может! Комп блокирован
Сразу прошу прощения, что не по правилам. Не могу.
Комп был блокирован вымогателем. Сразу после входа под пользователем на экране появлялось требование отправить 400 рублей на телефон в Билайне - и больше ничего.
В процессе сканирования на вирусы с LiveCD было обнаружено 4-6 файлов в Windows\system32 и удалены.
Теперь ситуация такая:
- в Safe mode система не грузится, сбрасывается на POST
- В нормальном режиме после входа пользователем вижу только фоновый рисунок рабочего стола и больше ничего. На кнопки не реагирует, на Ctrl-Alt-Del сообщает, что запуск Диспетчера блокирован Администратором
- при попытке зайти утилитой для сброса пароля выходит сообщение, что у тома NTFS неожиданный флаг - 0x4000 и поэтому доступа на запись нет.
Это можно как-то разгрести или остается только спасать данные и переустанавливать систему?
Добавлено через 32 минуты
Нашел кое-какие идеи в инете, пока буду пробовать.
Я бы удалил эту тему, но не нашел кнопки.
Пока прошу гуру этой темой не заниматься.
Последний раз редактировалось vgo; 24.08.2010 в 17:51.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
а также
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 58
Спасибо за ответ, но я уже написал вчера, что нашел в инете рецепты.
На данный момент управление системой восстановлено, эксплорер работает, диспетчер задач запускается, safe mode работает и я выполнил стандартную процедуру для запроса о помощи. Логи загрузил.
Бросилось в глаза, что на доступ к каким-то антивирусным сайтам прописан статический маршрут. файл hosts имеет нулевую длину, это вроде неправильно. Наверное, еще не вся гадость вычищена.
Насчет ERD commander есть сомнения. Как уже было написано, близкий к этому Live CD (я пытался стереть пароль администратора, но и редактор реестра там есть) отказался править диск из-за неожиданного флага тома NTFS.
Последний раз редактировалось vgo; 20.09.2010 в 09:53.
-
1.Профиксите в HijackThis
Код:
O2 - BHO: Rmn plugin - {47D92EB6-E52C-4cda-92A6-2369963F4913} - jetaccss.dll (file missing)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DelBHO('{88888888-8888-8888-8888-888888888888}');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\msmedia.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\mqwOCrW.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\fS7MIKN.exe','');
QuarantineFile('C:\WINDOWS\CZASJJJA.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
DeleteService('Task Monitor');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('C:\WINDOWS\CZASJJJA.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CZASJJJA');
DeleteFile('\\?\globalroot\systemroot\system32\fS7MIKN.exe');
DeleteFile('\\?\globalroot\systemroot\system32\mqwOCrW.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\msmedia.dll');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 58
Файл сохранён как 100825_185250_quarantine_4c752e42c21b0.zip
Размер файла 4118
MD5 51197e1c49f67e0a33a7dab4fdab2438
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось vgo; 20.09.2010 в 09:53.
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось vgo; 20.09.2010 в 09:53.
-
Remote Administrator - сами ставили?
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('symavc32');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('msansspc.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\control\securityproviders','SecurityProviders','msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,');
DeleteFile('C:\WINDOWS\system32\tmp.tmp');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог RSIT
- Сделайте повторный лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 58
RAdmin - да, по-видимому, сами. Раньше очень любили эту программу, сейчас сносим. Вот буду после лечения затыкать дыры на компе, и ее удалю тоже.
Кстати, где можно брать свежий скрипт для поиска уязвимостей ScanVuln.txt?
Последний раз редактировалось vgo; 20.09.2010 в 09:53.
-
В логах чисто.
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 58
Да, конечно, все это я собирался проделать. Большое спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
-