Помогите, кто может! Комп блокирован

[vgo]

Сразу прошу прощения, что не по правилам. Не могу.

Комп был блокирован вымогателем. Сразу после входа под пользователем на экране появлялось требование отправить 400 рублей на телефон в Билайне - и больше ничего.

В процессе сканирования на вирусы с LiveCD было обнаружено 4-6 файлов в Windows\system32 и удалены.

Теперь ситуация такая:
- в Safe mode система не грузится, сбрасывается на POST
- В нормальном режиме после входа пользователем вижу только фоновый рисунок рабочего стола и больше ничего. На кнопки не реагирует, на Ctrl-Alt-Del сообщает, что запуск Диспетчера блокирован Администратором
- при попытке зайти утилитой для сброса пароля выходит сообщение, что у тома NTFS неожиданный флаг - 0x4000 и поэтому доступа на запись нет.

Это можно как-то разгрести или остается только спасать данные и переустанавливать систему?

Добавлено через 32 минуты

Нашел кое-какие идеи в инете, пока буду пробовать.
Я бы удалил эту тему, но не нашел кнопки.
Пока прошу гуру этой темой не заниматься.

[polword]

1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

userinit

параметр

shell

а также
ветка

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

параметр

AppInit_DLLs

Содержимое этих параметров напишите в своем сообщении

[vgo]

Спасибо за ответ, но я уже написал вчера, что нашел в инете рецепты.
На данный момент управление системой восстановлено, эксплорер работает, диспетчер задач запускается, safe mode работает и я выполнил стандартную процедуру для запроса о помощи. Логи загрузил.

Бросилось в глаза, что на доступ к каким-то антивирусным сайтам прописан статический маршрут. файл hosts имеет нулевую длину, это вроде неправильно. Наверное, еще не вся гадость вычищена.

Насчет ERD commander есть сомнения. Как уже было написано, близкий к этому Live CD (я пытался стереть пароль администратора, но и редактор реестра там есть) отказался править диск из-за неожиданного флага тома NTFS.

[polword]

1.Профиксите в HijackThis

Код:

O2 - BHO: Rmn plugin - {47D92EB6-E52C-4cda-92A6-2369963F4913} - jetaccss.dll (file missing)

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 DelBHO('{88888888-8888-8888-8888-888888888888}');
 DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\msmedia.dll','');
 QuarantineFile('\\?\globalroot\systemroot\system32\mqwOCrW.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\fS7MIKN.exe','');
 QuarantineFile('C:\WINDOWS\CZASJJJA.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
 QuarantineFile('C:\WINDOWS\taskmon.exe','');
 DeleteService('Task Monitor');
 DeleteFile('C:\WINDOWS\taskmon.exe');
 DeleteFile('C:\WINDOWS\CZASJJJA.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CZASJJJA');
 DeleteFile('\\?\globalroot\systemroot\system32\fS7MIKN.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\mqwOCrW.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\msmedia.dll');
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
 DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_DeleteSvc('FCI');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[vgo]

Файл сохранён как 100825_185250_quarantine_4c752e42c21b0.zip
Размер файла 4118
MD5 51197e1c49f67e0a33a7dab4fdab2438

[vgo]

Отсканировал

[vgo]

RSIT

[polword]

Remote Administrator - сами ставили?
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteService('symavc32');
 DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
 DeleteFile('msansspc.dll');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\control\securityproviders','SecurityProviders','msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,');
 DeleteFile('C:\WINDOWS\system32\tmp.tmp');
 DeleteFile('C:\Program Files\Common Files\keylog.txt');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог RSIT
- Сделайте повторный лог virusinfo_syscheck.zip

[vgo]

RAdmin - да, по-видимому, сами. Раньше очень любили эту программу, сейчас сносим. Вот буду после лечения затыкать дыры на компе, и ее удалю тоже.

Кстати, где можно брать свежий скрипт для поиска уязвимостей ScanVuln.txt?

[polword]

В логах чисто.

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

[vgo]

Да, конечно, все это я собирался проделать. Большое спасибо за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения вредоносные программы в карантинах не обнаружены