Непобедимый блокиратор

Printable View

25.07.2011, 02:20
Владимир Сафронов

Непобедимый блокиратор

Доброго времени суток!
Не могу справиться с блокиратором. Система заблокирована полностью, через безопасный режим зайти не удается. Пробовал подобрать код разблокировки на Dr.Web, не получилось, проблема в том, что вирус не требует отправить смс с текстом на номер, просто требует положить денег через терминал на счет. Снимал жесткий, ставил на рабочий комп и прогонял антивирями. AVZ не увидел ничего, CureIt нашел но не то, Nod32 тоже всё тихо. Поставил жесткий на место. Попробовал с LiveCD проверить, порядка 7 часов он упорно трудился, нашел и удалил кучу разной ерунды но результат нулевой, система всё еще заблокирована. Последнее что пробовал это загрузиться через ERD Commander и почистить реестр. Вроде всё выполнил как в учебнике, но после перезагрузки опять всё по новой.
25.07.2011, 02:29
миднайт

Доброй ночи.
[B][COLOR="Red"]I этап[/COLOR][/B] (выполняется на [B]чистой от вирусов[/B] машине)

1. Скачайте на компьютере, [b]с которого сейчас пишете[/b], образ [B]ERD Commander[/B] (для Windows XP - [B]версия 2005 (5.0)[/B], для Vista - [B]версия 2007 (6.0)[/B], для Windows 7 - [B]версия 2009 (6.5)[/B]). Ссылки ищите в Google, например.
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero

[B][COLOR="Red"]II этап[/COLOR][/B] (выполняется на [B]заблокированной[/B] машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь
При загрузке Вы должны указать диск, на который установлена заблокированная система ([URL="http://wiki.drweb.com/index.php/Userinit"]образец[/URL])
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]
[B]параметр[/B]
[code]userinit[/code]
[B]параметр[/B]
[code]shell[/code]
Значения этих параметров напишите в своем сообщении
25.07.2011, 02:42
Владимир Сафронов

userinit-> C:\WINDOWS\system32\userinit.exe
shell-> C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
25.07.2011, 02:44
миднайт

1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с сис-темы, аналогичной заблокированной)
2. Загрузиться с Live CD
3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache),
4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
5. Исправляете параметры: [B]shell[/B], где должно быть указано [B]explorer.exe[/B] и раздел [B]userinit[/B], где должно быть указано [тут буква вашего диска и путь к системе] C:\WINDOWS\system32\userinit.exe,) (включая запятую!).

Пробуйте стартовать в проблемной системе

Если загрузка пройдет успешно, не торопитесь уходить. Вполне возможно, что будут остатки, которые нужно будет добивать
25.07.2011, 11:30
Владимир Сафронов

Систему загрузить удалось. Куда нужно смотреть и какие остатки добивать?
25.07.2011, 11:31
миднайт

Теперь сделайте логи AVZ, согласно правил.
+ Сделайте лог полного сканирования [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]
25.07.2011, 13:34
Владимир Сафронов

Вложений: 3

Очень сильно тормозит система. Браузер крайне медленно грузит страницу.
25.07.2011, 13:53
crush13

[b]Владимир Сафронов[/b], здравствуйте.
В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\one\application data\netprotocol.exe');
QuarantineFile('C:\WINDOWS\system32\dllcache\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\windebug32.exe','');
QuarantineFile('C:\Program Files\Common Files\msadco40.tlr','');
QuarantineFile('C:\Documents and Settings\one\Application Data\netprotocol.exe','');
QuarantineFile('c:\documents and settings\one\application data\netprotocol.exe','');
DeleteFile('c:\documents and settings\one\application data\netprotocol.exe');
DeleteFile('C:\Documents and Settings\one\Application Data\netprotocol.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFile('C:\Program Files\Common Files\msadco40.tlr');
DeleteFile('C:\WINDOWS\system32\windebug32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll','REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите в MBAM[/URL] [COLOR="Red"]все строки, кроме этих[/COLOR]:
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
c:\backup\nero\keygen.exe (Malware.Packer.Gen) -> No action taken.
c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.[/CODE]
Проверьте, что с проблемой.
Логи повторите
26.07.2011, 12:50
Владимир Сафронов

Вложений: 4

Система продолжает работать медленно. Плюс вместо страниц в браузерах загружается исходный код. Жестко зараза зацепила.
26.07.2011, 13:28
crush13

1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- [COLOR="Red"][B]Обязательно!!! Отключить системное восстановление!!![/B][/COLOR] как - [URL="http://virusinfo.info/pravila.html"]посмотреть можно здесь[/URL];
- Выгрузите антивирус и/или Файрвол;
- [URL="http://virusinfo.info/showpost.php?p=64376&postcount=1"]Пофиксите в HJT[/URL]:
[CODE]O20 - AppInit_DLLs: C:\WINDOWS\system32\swrxplm.dll[/CODE]
- [URL="http://virusinfo.info/showpost.php?p=88804&postcount=1"]Выполните скрипт в AVZ[/URL] ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\dllcache\userinit.exe','');
QuarantineFile('C:\DOCUME~1\one\LOCALS~1\Temp\Ww90ou2L.sys','');
QuarantineFile('C:\WINDOWS\system32\swrxplm.dll','');
DeleteFile('C:\WINDOWS\system32\swrxplm.dll');
DeleteFile('C:\WINDOWS\system32\dllcache\userinit.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
3. Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из корня папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы;
4. Сделайте повторные логи [URL="http://virusinfo.info/pravila.html"]по правилам[/URL] п.2 и п.3 раздела "[COLOR="Blue"]Диагностика[/COLOR]" (virusinfo_syscheck.zip; hijackthis.log).

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - [URL="http://download.microsoft.com/download/D/6/9/D693B7D9-C8E3-4D15-B3D2-59843A8DE90B/IE8-WindowsXP-x86-RUS.exe"]Обновите IE[/URL], даже если Вы его не используете.
26.07.2011, 15:06
Владимир Сафронов

Вложений: 2

Всё выполнил, обновляю IE/
27.07.2011, 01:48
thyrex

Что с проблемой?
28.07.2011, 01:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\one\\application data\\netprotocol.exe - [B]Trojan-Dropper.Win32.Aspxor.ap[/B] ( DrWEB: BackDoor.Butirat.21, BitDefender: Trojan.Clicker.NAM, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Agent-ANCV [Trj] )[*] c:\\windows\\system32\\dllcache\\userinit.exe - [B]Trojan-Ransom.Win32.PornoAsset.anj[/B] ( DrWEB: Trojan.Packed.22288, BitDefender: Gen:Variant.Kazy.31981, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\swrxplm.dll - [B]Trojan.Win32.Agent.huxt[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6363482, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Monder-KO [Trj] )[*] c:\\windows\\system32\\windebug32.exe - [B]Trojan-Downloader.Win32.Agent.sunb[/B] ( DrWEB: Trojan.PWS.Turist.1, BitDefender: Trojan.Generic.6684755, NOD32: Win32/Spy.Ranbyus.D trojan, AVAST4: Win32:Agent-ANGM [Drp] )[/LIST][/LIST]