Винлокер "За просмотр или посещение запрещенных ресурсов"

[Mick Lost]

Конечно, записать образ на диск и загружаться с созданного диска

но я же только с лайв сиди могу запускаться. Я если вытащу диск из сидирома, то система зависнет.

[thyrex]

Записывать на диск образ Kaspersky Registry Editor нужно на другой чистой от вирусов машине

[Mick Lost]

Записывать на диск образ Kaspersky Registry Editor нужно на другой чистой от вирусов машине

это я понимаю. Но зараженный компьютер то может работать только с лайв сиди. Если я захочу вставить диск с касперским мне же придётся достать этот лайв сиди из сидирома и система сразу зависнет.

[thyrex]

Мда, раз Вы не совсем понимаете, вот Вам полная инструкция. В ней Вы создаете загрузочный диск, с которого тоже можете загружаться

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Registry Editor (около 120 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
– установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
– выберите Kaspersky Registry Editor
3. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении

[Mick Lost]

thyrex, большое спасибо за подробную инструкцию!
параметр userinit - значение C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppat ch\svcyksi.dat,
параметр shell - значение explorer.exe

[Nikkollo]

параметр userinit - значение C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppat ch\svcyksi.dat,
Этот параметр отредактируйте так:
C:\WINDOWS\system32\userinit.exe,
(с запятой на конце)
Файл C:\WINDOWS\apppat ch\svcyksi.dat переименуйте в C:\WINDOWS\apppat ch\svcyksi.bak
Попробуйте загрузиться в обычном режиме и сделайте логи по правилам.
C:\WINDOWS\apppat ch\svcyksi.bak заархивируйте в формате zip с паролем virus и загрузите по красной ссылке вверху темы "Прислать запрошенный карантин".

[Mick Lost]

Файл C:\WINDOWS\apppat ch\svcyksi.dat переименуйте в C:\WINDOWS\apppat ch\svcyksi.bak

в указанной директории файла svcyksi.dat нет. Пробовал даже открыть его через адресную строку - тоже говорит что нет такого файла в этой директории.

[thyrex]

параметр userinit - значение C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppat ch\svcyksi.dat,
Этот параметр отредактируйте так:
C:\WINDOWS\system32\userinit.exe,
(с запятой на конце)

Это сделайте и пробуйте загружаться

Если блокировка останется
Проверьте все возможные папки Run (поиском в реестре, Kaspersky Registry Editor это позволяет) в ветках HKEY_LOCAL_MACHINE и HKEY_USERS на наличие неизвестных или подозрительных ключей в них

[Mick Lost]

Это сделайте и пробуйте загружаться

Это я сделал.

Кстати, хочу напомнить, что после проверки компьютера CureIt'ом заставка с порнухой прапала, но зато теперь не получается войти в систему. При попытке это сделать выбрасывает обратно в меню выбора учетных записей.

Проверьте все возможные папки Run (поиском в реестре, Kaspersky Registry Editor это позволяет) в ветках HKEY_LOCAL_MACHINE и HKEY_USERS на наличие неизвестных или подозрительных ключей в них

Проверил, но не знаю что считать подозрительным, поэтому выложу скриншоты.
Вложение 330237Вложение 330241Вложение 330242Вложение 330243Вложение 330244

[thyrex]

Отлично.

C:\Windows\Temp\golodor.exe и есть Ваш блокировщик.
Теперь зайдите в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
В ней увидите папку userinit.exe с параметром debugger, значение которого и есть этот файл.
Удаляйте эту папку и пробуйте загружаться

[Mick Lost]

Получилось! Компьютер снова работоспособен. Большое спасибо за помошь!

[thyrex]

Сделайте лог полного сканирования МВАМ

[Mick Lost]

log

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\Admin\local settings\Temp\jar_cache1613315413200675412.tmp', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\a9w1soojaa.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\hxxtjjfv.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\qlccxoojaa.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\0dzuu6g.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\0eezqql.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\0lhcc6o.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\0oojaav.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\2u5plgh.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\3ccxooj.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\6cc6oo6.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\6gg6ss6.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\70vrmm6.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\9a1wssn.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\9y1uqql.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\k6ww6ii6.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\lbbxnnjz.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\pfq1ghm81yj.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\q6g81sdez.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\aavmmhyytk.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\aq0rhn66e8.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\brrnddzp.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\bw1soojaav.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\e1awwrii.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\eezqqlccxo.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\gccxoojaav.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\qqlccxooja.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\rhhdttpf.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\s70tpkk6w.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\tjjfvvrh.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\u1qmmhyy.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\u9q1miiduu.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\главное меню\программы\автозагрузка\xss6ee6qq6c.exe', 'MBAM: Worm.Autorun');
QuarantineFile('c:\documents and settings\Admin\local settings\Temp\2416447.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\documents and settings\Admin\local settings\Temp\9378085.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\WINDOWS\Temp\golodor.dat', 'MBAM: Trojan.Ransom');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Удалите в МВАМ все, кроме

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

c:\program files\abbyy finereader 10\10.0.102.109n.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files\abbyy finereader 10\finereader 10.0.102.109 professional edition\10.0.102.109n.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files\Adobe\acrobat 10.0\Acrobat\keygen.exe (RiskWare.Tool.CK) -> No action taken.
c:\program files\ASCON\kompas-3d v12\kompas-3d_v12sp1_antihasp_v1.1.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files\ASCON\kompas-3d v12\Bin\kompas-3d_v12sp1_antihasp_v1.1.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files\Sony\vegas pro 9.0\Keygen.exe (Trojan.Agent.CK) -> No action taken.
e:\adobe.photoshop.cs5.extended.2010.pc\keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\guitar pro 5.2 + (crack rus)\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
g:\downloads\abbyy_finereader_10\finereader 10.0.102.109 professional edition\10.0.102.109n.exe (PUP.Hacktool.Patcher) -> No action taken.
g:\downloads\acrobat.x.pro.rus-eng\Crack\keygen.exe (RiskWare.Tool.CK) -> No action taken.
g:\downloads\adobe.illustrator.cs5.2010.pc\keygen.exe (RiskWare.Tool.CK) -> No action taken.
g:\downloads\adobe.photoshop.lightroom.3.2010.pc\информация\keygen.exe (Malware.Packer.Gen) -> No action taken.
g:\downloads\aliens.vs.predator.2010.pc\Crack\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> No action taken.
g:\downloads\aliens.vs.predator.2010.pc\Crack\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> No action taken.
g:\downloads\aliens.vs.predator.2010.pc\Crack\Phx_data\Res\RICO.exe (Backdoor.Bot) -> No action taken.
g:\downloads\aliens.vs.predator.2010.pc\Crack\Phx_data\Res\ss.exe (Backdoor.Bot) -> No action taken.
g:\downloads\autocad_2006\Keygen.exe (Malware.Gen) -> No action taken.
g:\downloads\noiseninjaplugin_win32 64 2_3_6\keygen core.exe (Trojan.Dropper.PGen) -> No action taken.
g:\downloads\noiseninjaplugin_win32 64 2_3_6\keygen.exe (Trojan.Dropper.PGen) -> No action taken.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 72
• В ходе лечения вредоносные программы в карантинах не обнаружены