поймал "вымогателя", который полностью заблокировал винду

[Владимир Олейник]

Здравствуйте!
поймал зверского вируса-вымогателя, который жестоко заблокировал систему ХР, требовал денег на телефон мобильный (номер не запомнил) и угрожал проблемами с компом и с биусом при попытке переустановить винду. Вирус при этом не позволял ничего делать - стрелка мыши была прихвачена к окну сообщения вируса, диспетчер задач не вызывался.
Попытался восстановить систему с установочного диска, но загрузка "застряла" на полпути, в режиме установки, когда оставалось 32 минуты.
В конце концов с установочного диска отформатил раздел С и установил все по новой, пока работает.

Но: практически сразу после установки система нашла новое устройство sistem, стала просить ПО. я поставил диск к материнке с драйверами, но там ничего не нашлось, на установочном винды тоже.
В диспетчере устройств нашол 5 неизвестных устройств, где в свойствах и сведениях указано:
ROOT\SISTEM\0004
ROOT\SISTEM\0005
ROOT\SISTEM\0006
ROOT\SISTEM\0007
ROOT\SISTEM\0008
у всех В общих сведениях:
тип устройства - системное устройство,
изготовитель - нет данных,
размещение - нет данных.

код оборудования root\DTSoftBus01
перечислитель ROOT
флаги Devnode DN_ROOT_ENVERATED
DN_HAS_PROBLEM
DN_DISABLEABLE
DN-NT_ENUMERATOR
DN_NT_DRIVER
ConfigFlags: CONFIGFLAG_FAILEDINSTALL
CsconFigflags: CSCONFIGFLAG_DISABLED
соустановщики классов: SysSetyp.Dll,CriticalDeviseConstaller
текущее состояние эл питания: D3
возможности эл питания: PDCAP_D0_SUPPORTED
PDCAP_D3_SUPPORTED
сопоставления энергосбережения: S0->D0
S1->D3
S2->D3
S3->D3
S4->D3
S5->D3
Вроде так, если не ошибся при переписывании.
Все остальное в сведениях пусто.
В системном реестре есть:
HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ ROOT\SYSTEM\0004, 0005, 0006, 0007, 0008 и еще
...ROOT\ESET_EPFWNDISMP\0000, 0001, 0002
...ROOT\MS_L2TPMINIPORT\0000,
...ROOT\MS_NDISWANIP\0000,
...ROOT\MS_PPPOEMINIPORT\0000,
...ROOT\MS_PPTPMINIPORT\0000,
...ROOT\MS_PSCHEDMP\0000, 0001, 0002
...ROOT\MS_PTIMINIPORT\0000.

Что это или кто это такие???

мне знакомые предположили, что это могут быть типа "виртуальные" диски, созданные вирусом-вымогателем.
Можно просто удалить в реестре этот раздел?

Я попробовал по вашим рекомендациям после загрузки инструментов зайти в безопасный режим и запустить AVPTool, но после F8 комп предложил загрузку Select Boot Devise с флоппи, винта или DVD привода.
Там нет вариантов загрузки нужных режимов! Как туда войти? получается, что F8 у меня вызывает другое меню (винда ХР).

[Nikkollo]

после F8 комп предложил загрузку Select Boot Devise с флоппи, винта или DVD привода.

Выберите загрузку с винчестера, нажмите Enter и продолжайте дальше долбить F8.

[Владимир Олейник]

3 раза так проходил, все равно нужной менюшки нет. Сейчас, в данный момент AVPTool в обычном режиме шерстит комп, уже кучу вирусов нашел удалил.
Кстати, у меня Нод32 антивирус, я ево не выгружал, сейчас одновременно работают.
А эти ROOT\SISTEM\000.. все таки кто такие?

[Nikkollo]

А эти ROOT\SISTEM\000.. все таки кто такие?

Их удалять не надо.
Когда AVPTool закончит, сделайте раздел "Диагностика" правил:
http://virusinfo.info/showthread.php?t=1235
и приложите логи в этой теме.

[Владимир Олейник]

я не смог запустить безопасный режим, F8 выдает менюшку загрузки винды с имеющихся приводов и винта.
Диагностику в обычном режиме можно сделать?

[Nikkollo]

Да, в обычном.

[Владимир Олейник]

хорошо, дождусь когда AVPTool закончит. Я накачал гиганский объем к SAS планете, 40% всех файлов программа смогла проверить почти за 8 (!) часов. Хорошо, что она позволяет продолжить с места остановки.
Диагностику надеюсь провести в понедельник-вторник, там и приложу логи

[Владимир Олейник]

пришлось делать диагностику сегодня. Пока AVPTool докапывал остатки, монитор вышел в сберегающий режим потух, ребенок подошел и нажал кнопку сети-комп вырубился. После запуска AVPTool собрался по новой копать, но уже не хотелось ждать еще 8 часов чтобы половину просмотрел.
прикрепил логи:

[Владимир Олейник]

по результатам проверки попробую по безопасностям полазить, чтобы повыключать в менюшках разрешения удаленных доступов, обнаруженные программой AVZ. После AVPToolа вроде попался обычный Store volum information, значит AVPTool поудалял много

[миднайт]

В AVZ выполните скрипт:

Код:

begin
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

[Владимир Олейник]

вставил, увидел-скрипт выполнен без ошибок.
вот карантин из AVZ, если я правильно понял. просто я не дождался, когда AVPTool доработает до конца

[миднайт]

Давайте так.
В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\System Volume Information\_restore{A86F6AC5-4960-475D-B0AE-7E01994B274C}\RP140\A0047840.exe','');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.

[Владимир Олейник]

прошу прощения, :-).... красная строка такая незаметная сверху, что сразу рвусь смотреть вниз...

[миднайт]

Ничего плохого в логах не видно.

[Владимир Олейник]

то есть все плохое AVPTool смог поудалять, сейчас все работает нормально.
Благодарю за помощь!

Р. S. только не пойму- 5 раз просматривал раздел "помогите", искал свою тему, НЕ БЫЛО!!! вдруг появилось...

[Nikkollo]

Р. S. только не пойму- 5 раз просматривал раздел "помогите", искал свою тему, НЕ БЫЛО!!! вдруг появилось...

Вверху справа есть ссылка - "Найти темы с вашими ответами"

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены