-
Junior Member
- Вес репутации
- 50
Полностью заблокированый компьютер: winlocker
Итак. Тело: Портативная Персональная Электронно Вычислительная Машина (я не смеюсь, так у ноута на шильдике написано :-)) iru Intro-1214L Combo
На нем стоят 2 ОС. Как я понял, родная WinXP Home со сбитой активацией и в другую папку поставлена XP Pro SP2 в нее и входит владелец под учетной записью "Евгений".
Троян, внешне похожий на те, чьи скриншоты есть на http://www.drweb.com/unlocker/index/?lng=ru как Winlocker.2354 и Winlocker.2404 только телефоный номер 89646378219 и сумма 390 руб. Ни в безопасном режиме, ни через Справку Экранной Лупы, зайдти не удалось.
1. Онлайн генераторы кодов, вышеупомянутый, ваш и ESET результатов не дали.
2. Был скачан и обновлен DrWeb LiveCD 5.0.3. Сканирование шло очень долго, и были обнаружены 2 зараженых файла. Erasme37565.exe в папке C:\Documents and Settings\15\Local Settings\Temp и xxx_video.avi там же в папке C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5 (владелец клялся и божился, что на порно сайты - ни-ни ) Честно говоря, так и не понял, почему учетная запись называется 15... Их там кстати оч. много... учеток.
3. После удаления этих файлов, через Midnight Commander удалил папку System Volume Information и перезагрузился. К моему разочарованию, вымогатель остался (
4. Скачал, записал на CD и обновил Kaspersky Rescue Disk 10.0.23.29
Сканирование опять длилось о-о-о-о-очень долго и на 60% я не выдержал, психанул и остановил проверку.
5. Однако, после этого, к моему удивлению Виндоус загрузилась в безопасном режиме. Правда, кроме черного рабочего стола и курсора, ничего нет. На Win+E Win+R не реагирует. Но хорошо, что работает Ctrl+Alt+Del и я запустил Эксплорер. Скопировал с флешки в корень свеже обновленный avz 4.35, HiJackThis 2.0.4 и прилагаю логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: Shell=C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe','');
QuarantineFile('C:\WINNT\system32\amvo.exe','');
QuarantineFile('C:\WINNT\system32\avpo.exe','');
QuarantineFile('C:\WINNT\system32\nsvideo.dll','');
QuarantineFile('C:\Documents and Settings\15\Application Data\msmedia.dll','');
QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1642491965-601303314-1214\mprsvrh.exe','');
DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1642491965-601303314-1214\mprsvrh.exe');
DeleteFile('C:\Documents and Settings\15\Application Data\msmedia.dll');
DeleteFile('C:\WINNT\system32\avpo.exe');
DeleteFile('C:\WINNT\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','avpa');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
DeleteFile('C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe');
DelBHO('9D64F819-9380-8473-DAB2-702FCB3D7A3E');
DelBHO('88888888-8888-8888-8888-888888888888');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635613');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Загрузитесь в нормальном режиме
- Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 50
Выкинул к черту из автозагрузки Майлсру, ДубльГИС, Скайп и проч, выгрузил AVG.
Сканировалось в нормальном режиме, логи прилагаются.
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINNT\system32\SVCH0ST.EXE','');
QuarantineFile('C:\WINNT\system32\Zsnkstm.exe','');
DeleteFile('C:\WINNT\system32\Zsnkstm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 50
Готово. Ничего, что я их не паролирую, не смертельно?
-
Нормально, главное карантин в тему не пихать. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 50
Рад сообщить: ожила персональная ЭВМ! Тяжко ей с 256 Мб ОЗУ, но скрипит. )
Одно смущает. При последнем сканировании avz ругнулся на некую Mail Bomb, что за зверь такой?
Ну и интересуюсь, неужели сподобились еще неизвестную науке гадость подцепить?
-
По поводу Mail Bomb можно не беспокоиться.
Ни один зверь не пожелал идти в карантин, но все довольно известные, вот это - C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe в последнее время очень распространено.
-
-
Junior Member
- Вес репутации
- 50
Еще раз благодарю за быструю и качественную помощь!
Но прежде чем закрыть тему, можно вопрос общего плана? Все эти сервис-паки, патчи, фиксы, бла-бла-бла, приносят хоть какую то практическую пользу? Именно в плане иммунизации к вирусам? А то есть ощущение, что Майкрософт сама настежь распахнула ворота для вымогателей, своим дурацким WGA.
-
Да, обновляться нужно, иначе система дыпявая пропустит что угодно.
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Поставте все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 50
Ну, что ж. Если вы позволите, пара советов моим товарищам по несчастью. Надеюсь, это не нарушит правила.
Братье и сестры!
Всё что сказано выше - истинно и да будет так! Но я понимаю, что не все из нас могут заплатить лихоимцу Биллу с ватагою его многочисленной. И не у всех у нас встанет сей СП3 и иже с ним. ) И потому вот мои мои скромные советы.
1. перед установкой СП3 проверьтесь, надо ли вам вообще эту затею начинать. ццц. ***** и Тест WGA/OGA вам в помощь. (работает только под богопротивным ишаком) Если результат положительный - переходим к совету 2.
Совет 2. Вместо сотонинского мелкомягкого ресурса, советую вам благодатный ццц. *****
3. Если вы попали в такую же тяжелую ситуацию, попробуйте спасательный Лайв СиДи ццц. ******* Там уже вшит avz 4.35 умеющий работать с удаленным реестром, что есть хорошо.
Спасибо за внимание, и извините, если нарушил правила, исключительно для общей пользы, чтоб у уважаемых хелперов было мало работы и много ништяков!
Аминь!
Добавлено через 14 минут
Ну что ж, раз модератор выпилил линки - значит таковы правила. кому интересно что же там было - в личку.
Последний раз редактировалось SibireanUrsus; 17.09.2010 в 20:50.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения вредоносные программы в карантинах не обнаружены
-