Полностью заблокированый компьютер: winlocker

Итак. Тело: Портативная Персональная Электронно Вычислительная Машина (я не смеюсь, так у ноута на шильдике написано :-)) iru Intro-1214L Combo
На нем стоят 2 ОС. Как я понял, родная WinXP Home со сбитой активацией и в другую папку поставлена XP Pro SP2 в нее и входит владелец под учетной записью "Евгений".
Троян, внешне похожий на те, чьи скриншоты есть на [URL]http://www.drweb.com/unlocker/index/?lng=ru[/URL] как Winlocker.2354 и Winlocker.2404 только телефоный номер 89646378219 и сумма 390 руб. Ни в безопасном режиме, ни через Справку Экранной Лупы, зайдти не удалось.
1. Онлайн генераторы кодов, вышеупомянутый, ваш и ESET результатов не дали.
2. Был скачан и обновлен DrWeb LiveCD 5.0.3. Сканирование шло очень долго, и были обнаружены 2 зараженых файла. Erasme37565.exe в папке C:\Documents and Settings\15\Local Settings\Temp и xxx_video.avi там же в папке C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5 (владелец клялся и божился, что на порно сайты - ни-ни ;) ) Честно говоря, так и не понял, почему учетная запись называется 15... Их там кстати оч. много... учеток.
3. После удаления этих файлов, через Midnight Commander удалил папку System Volume Information и перезагрузился. К моему разочарованию, вымогатель остался :((
4. Скачал, записал на CD и обновил Kaspersky Rescue Disk 10.0.23.29
Сканирование опять длилось о-о-о-о-очень долго и на 60% я не выдержал, психанул и остановил проверку.
5. Однако, после этого, к моему удивлению Виндоус загрузилась в безопасном режиме. Правда, кроме черного рабочего стола и курсора, ничего нет. На Win+E Win+R не реагирует. Но хорошо, что работает Ctrl+Alt+Del и я запустил Эксплорер. Скопировал с флешки в корень свеже обновленный avz 4.35, HiJackThis 2.0.4 и прилагаю логи.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]F2 - REG:system.ini: Shell=C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe','');
QuarantineFile('C:\WINNT\system32\amvo.exe','');
QuarantineFile('C:\WINNT\system32\avpo.exe','');
QuarantineFile('C:\WINNT\system32\nsvideo.dll','');
QuarantineFile('C:\Documents and Settings\15\Application Data\msmedia.dll','');
QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1642491965-601303314-1214\mprsvrh.exe','');
DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1642491965-601303314-1214\mprsvrh.exe');
DeleteFile('C:\Documents and Settings\15\Application Data\msmedia.dll');
DeleteFile('C:\WINNT\system32\avpo.exe');
DeleteFile('C:\WINNT\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','avpa');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
DeleteFile('C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe');
DelBHO('9D64F819-9380-8473-DAB2-702FCB3D7A3E');
DelBHO('88888888-8888-8888-8888-888888888888');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635613');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Загрузитесь в нормальном режиме
- Сделайте новые логи

Выкинул к черту из автозагрузки Майлсру, ДубльГИС, Скайп и проч, выгрузил AVG.
Сканировалось в нормальном режиме, логи прилагаются.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINNT\system32\SVCH0ST.EXE','');
QuarantineFile('C:\WINNT\system32\Zsnkstm.exe','');
DeleteFile('C:\WINNT\system32\Zsnkstm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

Готово. Ничего, что я их не паролирую, не смертельно?

Нормально, главное карантин в тему не пихать. Что с проблемой?

Рад сообщить: ожила персональная ЭВМ! :) Тяжко ей с 256 Мб ОЗУ, но скрипит. :))
Одно смущает. При последнем сканировании avz ругнулся на некую Mail Bomb, что за зверь такой?
Ну и интересуюсь, неужели сподобились еще неизвестную науке гадость подцепить?

По поводу Mail Bomb можно не беспокоиться.

Ни один зверь не пожелал идти в карантин, но все довольно известные, вот это - [B]C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe[/B] в последнее время очень распространено.

Еще раз благодарю за быструю и качественную помощь! :beer:
Но прежде чем закрыть тему, можно вопрос общего плана? Все эти сервис-паки, патчи, фиксы, бла-бла-бла, приносят хоть какую то практическую пользу? Именно в плане иммунизации к вирусам? А то есть ощущение, что Майкрософт сама настежь распахнула ворота для вымогателей, своим дурацким WGA.

Да, обновляться нужно, иначе система дыпявая пропустит что угодно.

Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3

- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com/"]тут[/URL]

Ну, что ж. Если вы позволите, пара советов моим товарищам по несчастью. Надеюсь, это не нарушит правила.
Братье и сестры!
Всё что сказано выше - истинно и да будет так! :) Но я понимаю, что не все из нас могут заплатить лихоимцу Биллу с ватагою его многочисленной. И не у всех у нас встанет сей СП3 и иже с ним. ;)) И потому вот мои мои скромные советы.
1. перед установкой СП3 проверьтесь, надо ли вам вообще эту затею начинать. ццц. ***** и Тест WGA/OGA вам в помощь. (работает только под богопротивным ишаком) Если результат положительный - переходим к совету 2.
Совет 2. Вместо сотонинского мелкомягкого ресурса, советую вам благодатный ццц. *****
3. Если вы попали в такую же тяжелую ситуацию, попробуйте спасательный Лайв СиДи ццц. ******* Там уже вшит avz 4.35 умеющий работать с удаленным реестром, что есть хорошо.

Спасибо за внимание, и извините, если нарушил правила, исключительно для общей пользы, чтоб у уважаемых хелперов было мало работы и много ништяков!
Аминь!

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

Ну что ж, раз модератор выпилил линки - значит таковы правила. кому интересно что же там было - в личку.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]