Винлокер. Какой то не совсем обычный. [P2P-Worm.Win32.Polip.a ]

Поймал винлокера. Обычно в реестре в Винлогоне чищу параметры юзеринит и шелл и всё тановится ок, а сейчас эти параметры в норме, нет ничего лишнего, всё как надо. Нашёл дыру в этом винлокере, когда винда только запустилась, то на несколько секунд отображается нормальный рабочий стол. Если успеть открыть Мой компьютер, то можно впринципе почти полноценно работать на компьютере, правда баннер закрывает значительную часть экрана. Но через мой компьютер можно включить любое приложение и оно будет работать. Не работают только диспетчер задач, редактор параметров автозапуска, панель и кнопка Пуск и не меняется язык. Вот и сейчас пишу глядя в щелочку между краем экрана и краем баннера)
В общем в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметры шелл и юзеринит в порядке. Прикрепляю экспорт ранов из HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run

Уважаемый(ая) [B]Mick Lost[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

C:\Documents and Settings\Admin\Local Settings\Temp\87.exe попробуйте удалить

Ага, он самый. Удалил, заработало :)

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Удалил винлокреа, зато контакт вымогашка заблокировала, просит прислать код на короткий номер. Логи тут

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\System32\Wbem\wmic.exe','');
QuarantineFile('C:\my documents\Application Data\explorer.exe','');
TerminateProcessByName('c:\documents and settings\admin\local settings\temp\bzqlw.exe');
QuarantineFile('c:\documents and settings\admin\local settings\temp\bzqlw.exe','');
DeleteFile('c:\documents and settings\admin\local settings\temp\bzqlw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Updater');
DeleteFile('C:\my documents\Application Data\explorer.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
DeleteFile('C:\WINDOWS\Tasks\83kd33.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделал

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://asalvadora.com/search/yan.exd[/CODE]

как это сделать?

[url]http://virusinfo.info/showthread.php?t=4491[/url]

+ пролечитесь от файлового вируса так [url]http://support.kaspersky.ru/viruses/rescuedisk[/url]

ничего не изменилось. вконтакте так же требуют смс

[B]Пролечитесь сначала от файлового вируса[/B]

Пофиксите в HiJack
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{CBB6AE46-251D-43A6-8843-B21DC941FDDE}: NameServer = 37.10.116.201,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{D930A592-2AF6-4F16-B261-FF6D2DA0E007}: NameServer = 37.10.116.201,8.8.8.8[/CODE]

[QUOTE=thyrex;1063940][url]http://virusinfo.info/showthread.php?t=4491[/url]

+ пролечитесь от файлового вируса так [url]http://support.kaspersky.ru/viruses/rescuedisk[/url][/QUOTE]

по ссылке там просто какой то набор статей и описание возможностей касперский рескью диск.

Вроде и по-русски написано, а читать не все умеют...
Последняя статья, п. 1

[QUOTE=thyrex;1064328]Вроде и по-русски написано, а читать не все умеют...
Последняя статья, п. 1[/QUOTE]
Я что то видимо недопонимаю где и что написано. По вашей ссылке у меня вот это [ATTACH=CONFIG]448732[/ATTACH]
где там инструкция по лечению от файлового вируса я не пойму.

Дубль 2[quote="thyrex;1064328"][B]Последняя статья, п. 1[/B][/quote]

[QUOTE=thyrex;1064328]Вроде и по-русски написано, а читать не все умеют...
Последняя статья, п. 1[/QUOTE]
Как записать Kaspersky Rescue Disk 10 на СD\DVD и запустть с него компьютер? - эта что ли? Где там еще какая последняя статья я чет не врубаюсь :unknw:

Последняя статья по ссылке и называется
[QUOTE]Как записать Kaspersky Rescue Disk 10 на СD\DVD и запустть с него компьютер?[/QUOTE]

[url]http://support.kaspersky.ru/8093[/url]

Ну у меня есть этот диск и запускать с него комп я умею. А лечить то файловые вирусы как?

[url]http://support.kaspersky.ru/8097[/url]