Третьи сутки борьбы с трояном-вымогателем. Помогите, пожалуйста.

Здравствуйте. В общем, кратко. На компьютере стоит Windows XP, на днях поймал троян-вымогатель "Internet Security", на его предложение отослать sms сделал грубую перезагрузку. В результате чего компьютер перестал включаться. Т. е. он включается, но даже загрузка BIOS не идет, монитор как будто не видит компьютер.

Подсоединил хард к работающей машине, проверил его KIS 9, в результате чего было удалено несколько *.dll в папке %system32% под предлогом "Packed.Win32.Krap.w", также почистил папки Temp в Local Settings у User и Administrator. Подсоединил к исходной машине.
Виндоус запустился. Скачал Virus Removal Tool, проверил ею. Все чисто. Однако на попытки запустить диспетчер задач или редактор реестра компьютер ругался, выдавая, что сии действия запрещены администратором.

Начал оформлять заявку по правилам, дошло дело до отключения восстановления системы, как я обнаружил, что она уже (!) отключена (какой-то групповой политикой), хотя раньше была включена. Ну и потом CureIt! при сканировании в безопасном режиме обнаружил в %system32% некий sdra64.exe, а затем, обозвав его Пандой, удалил.

Немного напуганный, я оформил отчет и отправляю его вам в надежде на помощь [B]:>


[/B]

Выполните скрипт в AVZ:
[code]
begin
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Сделайте новый лог согласно п.2 раздела Диагностика.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]

После выполнения указанного скрипта в AVZ компьютер действительно сам перезагрузился, но после этого включился не сразу (та же проблема, что и в предыдущем посте), помогло n-кратное нажатие "reset".

Widows запустилась, разблокировался диспетчер устройств и редактор реестра, да и Восстановление системы теперь "в данный момент отключено".

Выполнил, в соответствии с п. 2 раздела "Диагностика", еще раз скрипт, лог прилагается.

На все попытки запустить Gmer в конце загрузки программы вылетала ошибка с предложением "отправить отчет". (Все фаерволы\антивирусы были выгружены) Не помог даже запуск в безопасном режиме. При запуске безопасного режима также был обнаружен все тот же "запрет администратором" на запуск редактора реестра и диспетчера задач.:> Крыша едет)

файл c:\windows\system32\drivers\atapi.sys - надо заменить на чистый из дистрибутива

скачайте утилиту [URL="http://support.kaspersky.com/downloads/utils/tdsskiller.zip"]tdsskiller[/URL] и проверьтесь ей. После проверки попробуйте снова сделать лог Gmer.

"Не удается создать файл atapi.sys" *cry*

tdsskiller выдал все нули

как создаете atapi.sys?
старый уже удалили или еще нет?

[url]http://virusinfo.info/showthread.php?t=51654[/url]

делаю все, как описано в этой теме форума.

старый файл сохранился?
Если да, запакуйте его в zip-архив с паролем virus
и загрузите через ссылку [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

у меня он да, сохранился и остался там же, где был.

новый не хочет вставать на его место..(

а если подсоединить винчестер к другому компьютеру, и там все сделать?

Скачайте Live CD Dr.Web [URL="http://www.freedrweb.com/livecd/?lng=ru"]тут[/URL] и пролечите машину.
После будем думать дальше.

Запрашиваемый файл отослан.

Кстати, Windows теперь нормально перезагружается!

загрузитесь с LiveCD, замените файл C:\WINDOWS\system32\Drivers\atapi.sys на чистый из дистрибутива.
попробуйте после повторить лог gmer

[B]polword[/B], Live CD ничего противозаконного не нашел, atapi.sys удачно поменялся на чистый, из дистрибутива. Однако Gmer по-прежнему выдает ошибку в конце запуска.

- Сделайте повторный лог по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 раздела Диагностика.

Повторный лог сделан! :094:

Сегодня также сделал "Полную проверку" KIS 2010 с обновленными базами. Результат: "Угрозы не обнаружены" :gamer2:

файл atapi.sys - не заменился.
загрузитесь с LiveCD, замените файлы C:\WINDOWS\system32\Drivers\atapi.sys а также C:\WINDOWS\system32\dllcache\atapi.sys на чистый из дистрибутива. Повторите лог п.2 раздела Диагностика.
можете скачать файл [URL="http://exfile.ru/82820"]тут[/URL]

Поставил Ваш atapi.sys

Проверил AVZ согласно п. 2 раздела "Диагностика", сначала где-то в середине диагностики машина перезагрузилась, когда включилась, выдало сообщение "Windows восстановлена после серьезной... бла-бла", вторая диагностика прошла удачно, лог прилагается.:094:

Замучился уже:heat::dash1:

Скачайте [URL="http://www.esagelab.ru/resources.php?s=tdss_remover"]такую[/URL] утилитку и провертесь ей
попробуйте сделать такой лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]

Выполнить:
[CODE]Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
BC_ServiceKill('mparaf');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Повторить станд. скрипт №2. Прислать лог.