СМС блокиратор

Всем привет, во общем дело было так. Лазил я по сайтам, неожиданно с какого то сайта стал редиректить на другой, сильно грузиться, стал грузиться Java 6 какой то...

По правилам сделать ничего не смог, т.к. не получается ничего сделать на компе, только код можно ввести.
Суть вируса в том, что нужно отправил на МЕГАФОН номер 400 рублей.
Конкретно 9652925375

Пуск, диспетчер задач не работает. Как я прочитал в интернете, этот вирус заменяет файл explorer.exe собой.
На вашем deblockere нашел 2 кода - p1d0r и s1d0r, но ввести их не могу, т.к. не переводится на английскую раскладку(Shift+alt)

Вот как выглядит блокиратор [url]http://virusinfo.info/deblocker/get_img.php?name=trojan-ransom.win32.pornoblocker.[black].[big_warning].png[/url]
Только тот текст что снизу(красный), он немного заменен на чуть другой текст, но суть вируса не меняется, думаю.

1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]
[B]параметр[/B]
[code]userinit[/code]
[B]параметр[/B]
[code]shell[/code]
Содержимое этих параметров напишите в своем сообщении


Исправьте через ERD Commander значение параметра [b]shell[/b] на [b]explorer.exe[/b]
После этого загрузитесь нормальным образом и пробуйте выполнить правила раздела.

Как я понял, для лечения XP нужен ERD Commander 2005 года, так?
И еще, как поставить в биосе загрузку с диска?

Вот мои действия:
1) качаю ERD Commander 2005
2) загружаю его на cd-rw болванку
3) вставляю диск в сд-ром компа, который нужно вылечить
4) жму кнопку перезагрузки
5) при загрузке системы открываю биос(DELETE)
6) ставлю там загрузку с сд-диска(как?)
7) далее загрузится винда с ERD Commander
8) пуск - выполнить ...

Так?

[QUOTE='myaso;752103']5) при загрузке системы открываю биос(как?)[/QUOTE]
отличается в зависимости от производителя, во время загрузки пишет что-то типа для входа в setup нажмите . . .

советую также почитать [URL="http://www.microbs.ru/bios/biosIn.shtml"]тут[/URL].

Когда зайдёте в биос зайдите там в раздел Boot и там уже думаю сообразите как выставить приоритет загрузки, если нет, то напишите производителя Биоса.

да так

Никак не пойму, как поставить, чтобы загружался с диска?
Advanced - first bood device(нету такого)
Там только CPU configuration, Chipset, Onboard Devices Configuration, USB Configurayion, PCIpnp.
Версия биоса v02.61 (C) Copyright 1985-2007, American Megatrends, Inc.

Вкладка boot - boot device priority - тут 3 boot device расположены. Первый - сд-ром, второй - HDD, третий - disabled.
Что посоветуете? Может поставить в 1 и 2 и 3 загрузку с диска? Ничего страшного не будет?

UP:
Отключил загрузку с жесткого, поставил только с сд рома. Пишет Reboot and select proper boot device or insert boot media in selected boot device and press a key

[QUOTE='myaso;752132']Вкладка boot - boot device priority - тут 3 boot device расположены. Первый - сд-ром, второй - HDD,[/QUOTE]
Значит всё правильно и загрузка будет просходить с CD-диска.

Вы записали на болванку образ или файл образа?

Я записал на болванку 1 файл - edrc5.iso

Так же пробовал liveCD, minDrWebLiveCD-5.0.3.iso
Пишет тоже самое.

[QUOTE='myaso;752162']Я записал на болванку 1 файл - edrc5.iso[/QUOTE]
нужно записать образ, а не просто файл. Откройте iso с помощью Nero и запишите образ диска.

ууууу... его качать 2.5 часа((( Очень плохо. Ладно, попробую

[QUOTE='myaso;752167']ууууу... его качать 2.5 часа((( Очень плохо. Ладно, попробую[/QUOTE]
вы же его уже скачали ;) и записали на диск, тот файл, который вы записывали на диск или можете открыть прям записанный на диск с помощью Nero и записать на новый диск.

Я имею ввиду, что неро качать долго... вот как на зло скачал неро, 380мб, а там триал. Ключ просит:mad:
Никак не могу найти неро нормальный.

Вот еще вопрос, можно как то в биосе поставить, чтобы грузился только английский язык? Хочу попробовать в поле этого вируса ввести либо s1d0r либо p1d0r

[QUOTE='myaso;752200']Я имею ввиду, что неро качать долго... вот как на зло скачал неро, 380мб, а там триал. Ключ просит
Никак не могу найти неро нормальный.[/QUOTE]
скачайте Nero 8 Micro он и мало весит и насколько помню ключика не просит. Вся разница, что в него не включены разные прибамбасы для редактирования музыки фото и т.д. и только то что нужно для записи дисков.
[QUOTE='myaso;752200']Вот еще вопрос, можно как то в биосе поставить, чтобы грузился только английский язык? [/QUOTE]
Вы про язык виндоуса? это делается в настройках виндоуса.

Загрузился с cd roma edr 2005
Уже выскочила ошибка,Failed to install netword adapter -- check WINBOM с FACTORY.EXE
Но все равно продолжило загружаться дальше.

Что тут выбрать?
[B]Run ERD Commander[/B]
Use this option to repair this computer interactively

или

[B]Run Remote Recover client[/B]
Use option to repair the computer over the network from a remote system running Remote Recover


Выбрал первое...
Ждем. Появился пуск. Сейчас отпишусь что наделал.

UP:
не проходит второе описанное действие.
2. Пуск - Выполнить - erdregedit (может вы ошиблись и надо просто regedit?)
Пишет, что The system cannot find the file specified (напомню, что у меня отключена загрузка с жесткого диска вообще, так что может из за этого?)

Через regedit Нашел, что [B]Userinit - F:/WINDOWS/SYSTEM32/Userinit.exe,F:/WINDOWS/system32/jjdugb.exe[/B],
[B]shell - arakrnl.exe[/B]
Странный параметр [B]usrint - F:/WINDOWS/system32/kmkwsx.exe[/B]

Теперь нужно arakrnl.exe заменить на explorer.exe, правильно я понял?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit должен быть равен ...F - это ваш системный диск? Тогда F:\WINDOWS\system32\userinit.exe, c запятой на конце.
А Shell равен Explorer.exe
Исправляйте. Загрузитесь в нормальном режиме потом и выполните правила раздела.

С рабочего стола пропали все ярлыки, сам фоновый рисунок, не работает диспетчер задач, реестр не работает тоже. Правая кнопка работает в редких случаях.
Сейчас качаю cureit, далее буду выполнять правила раздела.

Кстати, образ файла записывал на диск утилитой Small CD-Writer

Параметр [B]shell[/B] исправьте на [CODE]explorer.exe[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]

[QUOTE='myaso;752213']Странный параметр usrint - F:/WINDOWS/system32/kmkwsx.exe[/QUOTE]Этот параметр вообще удалите

virusinfo_cure.zip весит 8.42мб, так что загрузить его не смог из за ограничений.
CureIt проходил, заметил, что медленно как то сканировал.

Диспетчер, реестр и т.д. по прежнему не работает(видимо нету прав на учетках)

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('F:\Program Files\Pamela\Pamela.exe','');
QuarantineFile('F:\Program Files\Common Files\svсhost.exe','');
QuarantineFile('F:\DOCUME~1\F185~1\LOCALS~1\Temp\Rar$EX00.422\Bootrace.exe','');
TerminateProcessByName('f:\documents and settings\дима\Рабочий стол\bce dumoha\d4a78g85.exe');
QuarantineFile('f:\documents and settings\дима\Рабочий стол\bce dumoha\d4a78g85.exe','');
QuarantineFile('F:/WINDOWS/system32/kmkwsx.exe','');
DeleteFile('F:/WINDOWS/system32/kmkwsx.exe');
QuarantineFile('F:/WINDOWS/system32/jjdugb.exe','');
DeleteFile('F:/WINDOWS/system32/jjdugb.exe');
DeleteFile('f:\documents and settings\дима\Рабочий стол\bce dumoha\d4a78g85.exe');
DeleteFile('F:\Program Files\Common Files\svсhost.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(11);
ExecuteRepair(11);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Скачайте AVZ 4.35, обновите его базы

Сделайте новые логи

Что из этого [B]не блокировали[/B] сами?
[QUOTE]>> Блокировка панели управления
>> Включено сокрытие всех элементов на рабочем столе
>> Отключено контекстное меню панели задач
>> Заблокировано изменение свойств экрана[/QUOTE]

Файлы карантина не загрузились(пробовал 3-4 раза)
Выкидывает просто на страницу, там написано "Результат загрузки". Вес файла 70мб

Из списка ничего сам не блокировал, вирус сам все заблокировал. Подскажите, как это все включить?
[CODE]>> Блокировка панели управления
>> Включено сокрытие всех элементов на рабочем столе
>> Отключено контекстное меню панели задач
>> Заблокировано изменение свойств экрана[/CODE]

virusinfo_cure.zip опять не загрузился, весит 8.42мб

Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888; https=127.0.0.1:8888
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
DeleteFile('F:\DOCUME~1\F185~1\LOCALS~1\Temp\Rar$EX00.422\Bootrace.exe');
DeleteFile('F:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe');
DeleteFile('F:\WINDOWS\System32\drivers\dwprot.sys');
ExecuteSysClean;
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Рабочий стол появился, права пользователя появились, диспетчер работает, реестр работает. Вроде бы все работает.

Пользователь thyrex мне посоветовал, что в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon нужно изменить значение shell = [B]e[/B]xplorer.exe(сейчас стоит [B]E[/B]xplorer.exe) Или от большой\маленькой буквы ничего не зависит?
Еще заметил, что появилось в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\[B]Winlogon[/B] с параметром SHELL = [B]E[/B]xplorer.exe

В HijackThis пофиксил, логи сделал.

[QUOTE='myaso;752437']Или от большой\маленькой буквы ничего не зависит?[/QUOTE] не зависит.
Выполните скрипт в AVZ
[CODE]begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(false);
end.[/CODE]

- Откройте файл [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Сделал. Думал, скрипт будет выполняться минут 10, а тут за 2-3сек.
Уязвимости устранены. Проблема с вирусом вроде полностью решена. Пока что не заметил ничего странного.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] f:\\documents and settings\\дима\\рабочий стол\\bce dumoha\\приват\\подозрительный софт\\wm.rar - [B]Trojan-Spy.Win32.Webmoner.ce[/B] ( DrWEB: archive: Trojan.Wmchange, BitDefender: Trojan.Spy.Webmoner.CE )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]