Winlock напал

небольшое синее окно просит 1000 руб.
параметр shell = explorer.exe
а вот параметр userinit это что то:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\38583f7.exe,\\?\globalroot\systemroot\system32\1clYqL2.exe,C:\WINDOWS\system32\8e7a4db7.exe,C:\WINDOWS\system32\ecb85544.exe,\\?\globalroot\systemroot\system32\ERxtVYI.exe,\\?\globalroot\systemroot\system32\EetUj3D.exe,\\?\globalroot\systemroot\system32\r5Tfn9a.exe,\\?\globalroot\systemroot\system32\N17Tqt5.exe,\\?\globalroot\systemroot\system32\4pxo3mS.exe,\\?\globalroot\systemroot\system32\FzO8AZB.exe,\\?\globalroot\systemroot\system32\5wGpa5X.exe,\\?\globalroot\systemroot\system32\ptIbQI7.exe,\\?\globalroot\systemroot\system32\pNFn7mY.exe,\\?\globalroot\systemroot\system32\ZCBFtVO.exe,\\?\globalroot\systemroot\system32\oK7xxpd.exe,\\?\globalroot\systemroot\system32\XVRYLmz.exe,\\?\globalroot\systemroot\system32\j42T9Nw.exe,\\?\globalroot\systemroot\system32\aTrqSu1.exe,\\?\globalroot\systemroot\system32\VD0GJXB.exe,\\?\globalroot\systemroot\system32\bP3WCVX.exe,\\?\globalroot\systemroot\system32\qS2xxnm.exe,\\?\globalroo
t\system
root\system32\5mKqlDy.exe,\\?\globalroot\systemroot\system32\hFXU46z.exe,\\?\globalroot\systemroot\system32\D1ctdcO.exe,\\?\globalroot\systemroot\system32\nPMcEo0.exe,\\?\globalroot\systemroot\system32\QyCPXU8.exe,\\?\globalroot\systemroot\system32\RHhjw6B.exe,\\?\globalroot\systemroot\system32\8P4WuYB.exe,\\?\globalroot\systemroot\system32\wYVtOwg.exe,\\?\globalroot\systemroot\system32\qd7vPTk.exe,\\?\globalroot\systemroot\system32\Osaj9M2.exe,\\?\globalroot\systemroot\system32\Ob9lll9.exe,\\?\globalroot\systemroot\system32\xyQ8LRM.exe,\\?\globalroot\systemroot\system32\Olucjyt.exe,\\?\globalroot\systemroot\system32\jWauYFm.exe,\\?\globalroot\systemroot\system32\7dcMZ9u.exe,\\?\globalroot\systemroot\system32\y7cITCJ.exe,\\?\globalroot\systemroot\system32\fjLyGZT.exe,\\?\globalroot\systemroot\system32\g0l3Af2.exe,\\?\globalroot\systemroot\system32\6SmbzK5.exe,\\?\globalroot\systemroot\system32\0DbZBCM.exe,\\?\globalroot\systemroot\system32\R8lkBDr.exe,\\?\globalroot\systemroo
t\system
32\TgQNMcP.exe,\\?\globalroot\systemroot\system32\TpPF3g6.exe,\\?\globalroot\systemroot\system32\DBLkWsk.exe,\\?\globalroot\systemroot\system32\186M1K2.exe,\\?\globalroot\systemroot\system32\mojfw61.exe,\\?\globalroot\systemroot\system32\kthw00q.exe,\\?\globalroot\systemroot\system32\Hpao5eW.exe,\\?\globalroot\systemroot\system32\1nVJQer.exe,\\?\globalroot\systemroot\system32\ub1GjGP.exe,\\?\globalroot\systemroot\system32\VMbi4Fb.exe,\\?\globalroot\systemroot\system32\7nC8Tys.exe,\\?\globalroot\systemroot\system32\aQHyRpF.exe,\\?\globalroot\systemroot\system32\HVi3GMD.exe,\\?\globalroot\systemroot\system32\9glU18b.exe,\\?\globalroot\systemroot\system32\Pjw1u7r.exe,\\?\globalroot\systemroot\system32\SA72Vx6.exe,\\?\globalroot\systemroot\system32\dpSgnfM.exe,\\?\globalroot\systemroot\system32\9AW89nm.exe,\\?\globalroot\systemroot\system32\kwe2Rzh.exe,\\?\globalroot\systemroot\system32\C0Riuml.exe,\\?\globalroot\systemroot\system32\03z2JWt.exe,\\?\globalroot\systemroot\system32\
3ZxfqFo.
exe,\\?\globalroot\systemroot\system32\DCShupA.exe,\\?\globalroot\systemroot\system32\UNxwXkI.exe,\\?\globalroot\systemroot\system32\0Io9vlG.exe,\\?\globalroot\systemroot\system32\NDVIByh.exe,\\?\globalroot\systemroot\system32\Oym2Zyy.exe,\\?\globalroot\systemroot\system32\6Rh8OzW.exe,\\?\globalroot\systemroot\system32\G2Pq0q5.exe,\\?\globalroot\systemroot\system32\71bubik.exe,\\?\globalroot\systemroot\system32\0VNASE4.exe,\\?\globalroot\systemroot\system32\QiKShxD.exe,\\?\globalroot\systemroot\system32\TjZw5hT.exe,\\?\globalroot\systemroot\system32\J9jUqPf.exe,\\?\globalroot\systemroot\system32\2sPGacB.exe,\\?\globalroot\systemroot\system32\k5Ax1sL.exe,\\?\globalroot\systemroot\system32\j16brZp.exe,\\?\globalroot\systemroot\system32\Spcws0M.exe,\\?\globalroot\systemroot\system32\ocuXkEL.exe,\\?\globalroot\systemroot\system32\f7ZCd8L.exe,\\?\globalroot\systemroot\system32\gMOuCNF.exe,\\?\globalroot\systemroot\system32\egH6dol.exe,\\?\globalroot\systemroot\system32\uYrTMHc.exe
,\\?\glo
balroot\systemroot\system32\86Z1BT8.exe,\\?\globalroot\systemroot\system32\RCR74lM.exe,\\?\globalroot\systemroot\system32\FZ6WDP8.exe,\\?\globalroot\systemroot\system32\63gA47L.exe,\\?\globalroot\systemroot\system32\52JtNTU.exe,\\?\globalroot\systemroot\system32\ScgwuPK.exe,\\?\globalroot\systemroot\system32\6qBZSbj.exe,\\?\globalroot\systemroot\system32\KP3Mpq7.exe,\\?\globalroot\systemroot\system32\uh50dAA.exe,


ветки реестра прилагаю

Уважаемый(ая) [B]dlenacsm[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Мдя... :)

Параметр userinit исправьте на такой:
C:\WINDOWS\system32\userinit.exe,

Эти ключи удалите:
"S2118667"="C:\\Documents and Settings\\first\\ms.exe"
"S13579175"="C:\\Documents and Settings\\first\\ms.exe"
"S14711313"="C:\\Documents and Settings\\first\\ms.exe"
"S1628167"="C:\\Documents and Settings\\first\\ms.exe"
"S750127"="C:\\Documents and Settings\\first\\ms.exe"
"S77359"="C:\\Documents and Settings\\first\\ms.exe"
"S171584"="C:\\Documents and Settings\\first\\ms.exe"
"S909332"="C:\\Documents and Settings\\first\\ms.exe"
"S5817435"="C:\\Documents and Settings\\first\\ms.exe"
"S160107140"="C:\\Documents and Settings\\first\\ms.exe"
"S165131161"="C:\\Documents and Settings\\first\\ms.exe"

Файл C:\Documents and Settings\first\ms.exe заархивируйте с паролем virus и загрузите по красной ссылке вверху темы "Прислать запрошенный карантин". Затем удалите этот файл.

Попробуйте загрузиться. Если получилось, сделайте логи по правилам.

Дейстововал по инструкциям рассположенным здесь [url]http://virusinfo.info/showthread.php?t=119072&highlight=winlock[/url]. соответственно реестр смотрел в среде kaspersky rescue disk. там же поправил реестр по вашим рекомендациям. вопрос: как заархивировать файл находясь в среде kaspersky rescue disk? если нужно зайти в безопасном режиме напомните как это делать? :blush:

В безопасном режиме [URL="http://virusinfo.info/showthread.php?t=9279"](как загрузиться)[/URL].

После редактирований в реестре можете загрузиться в проблемной системе?

нет после редактирования в обычном режиме опять окно. как и в безопасном впрочем тоже :(. после попытки загрузится в обычном в ветке HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run появился ключ "S1976297"="C:\\Documents and Settings\\first\\ms.exe" я его удалил
после попытки загрузки в безопасном режиме там же появился ключ "S3150126"="C:\\Documents and Settings\\first\\ms.exe" тоже удалил. остальное все что мы исправляли в норме.
что делать дальше? файл выслать не могу (только если переслать на здоровую машину ,без архивирования через интернет почту - но что-то боязно). логи сделать тоже не могу.

Попробуйте загрузиться в безопасном режиме с поддержкой командной строки.
В командной строке наберите explorer.exe и нажмите Enter.
Если нормально, сделайте логи.

смог загрузить проводник из командной строки заархивировал и удалил ms.exe. загрузился в обычном режиме. ПОЛУЧИЛОСЬ! однако сглупил заархивировал в rar а у вас принимает только zip попробовал распаковать но rar написал, что ошибка в распаковываемом файле и отказался распаковывать. поэтому прислать вам "друга" не получится. делаю логи.

[COLOR="silver"]- - - Updated - - -[/COLOR]

отправляю логи

Пофиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
O1 - Hosts: 46.251.228.210 odnoklassniki.ru
O1 - Hosts: 46.251.228.210 ru-ru.facebook.com
O1 - Hosts: 46.251.228.210 www.vk.com
O1 - Hosts: 46.251.228.210 www.vkontakte.ru
O1 - Hosts: 46.251.228.210 vk.com
O1 - Hosts: 46.251.228.210 www.facebook.com
O1 - Hosts: 46.251.228.210 www.odnoklassniki.ru
O1 - Hosts: 46.251.228.210 vkontakte.ru
O1 - Hosts: 46.251.228.210 facebook.com
O1 - Hosts: 46.251.228.210 facebook.com

O4 - Startup: Adobe Updater.lnk = C:\WINDOWS\system32\cmd.exe

[/CODE]

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\first\ms.exe','');
QuarantineFile('C:\Documents and Settings\first\Application Data\lbisov.exe','');
DeleteFile('C:\Documents and Settings\first\Application Data\lbisov.exe');
DeleteFile('C:\Documents and Settings\first\ms.exe');
ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'routes');
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файл routes_<цыферки>.reg
Заархивируйте его и приложите здесь.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.

готово

По логам больше подозрений нет.

У вас много статических маршрутов (routes_20120528-214843.zip - просмотр заархивированного файла routes_20120528-214843.reg в блокноте).
Это может блокировать доступ к некоторым сайтам.
Среди них могут быть и легитимные. Ваш провайдер предусматривал какие-либо статические маршруты для подключения интернет или его других услуг?

Еще загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

[QUOTE=Nikkollo;892578]Ваш провайдер предусматривал какие-либо статические маршруты для подключения интернет или его других услуг?[/QUOTE]

мне сие неведомо. при подключении, как мне показалось никаких особых требований и настроек не было.

требуемый файл загрузить не получается. Ответ системы: "Ошибка загрузки. Данный файл уже был загружен".

Тогда попробуем очистить.
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
RegKeyCreate('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
end.

[/CODE]
Перезагрузите компьютер и проверьте интернет (и другие услуги провайдера, если пользуетесь).
Если что-то нарушилось, дважды щелкните по вышеуказанному рег файлу routes_20120528-214843.reg и нажмите "Да" на запрос о внесении изменений в реестр.

Попробуйте посмотреть файлы с бредовыми именами по списку в вашем первом сообщении, в папке C:\WINDOWS\system32\
Если найдете что-нибудь, заархивируйте с паролем virus и загрузите по красной ссылке вверху.
(понимаю, что их там много... :) хотя бы бегло посмотрите).

код выполнил. все работает. файлов из реестра в system32 не нашел.

Тогда можно на этом закончить.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]