Блокиратор Winndows Depatrment of Justice MoneyPak [Trojan.Win32.Patched.pp ]

[Bruzon]

После выполнения скрипта баннер остался, попытка загрузиться с безопасном режиме заканчивается неудачей - мелькает синий экран и начинается перезагрузка.

[thyrex]

Перезагрузка идет в любом из вариантов загрузки в безопасном режиме?

[regist]

+ попробуйте выполнить этот скрипт, а после него перегрузиться в безопасный режим.

[Bruzon]

Да, в любом из трех вариантов выпадает синий экран и перезагрузка. Происходит в момент загрузки драйвера CLASSPNP.SYS, всегда на нем слетает. Сейчас попробую новый скрипт.

При выполнении нового скрипта внизу было сообщение "не удалось скопировать затребованный ключ из копии реестра"
Безопасный режим так же не грузится.

[regist]

Я к тому же через диспетчер файлов почистил папки temp и startup - тоже не помогло, в них не было никаких экзешников.

1)Скачайте AVZ и распакуйте его в отдельную папку.
2) Обновите базы (Файл - Обновление баз).
3) Скопируйте папку с AVZ к себе на жёсткий диск и создайте для него ярлык в папке Автозагрузка. В свойствах ярлыках в поле Объект в конце припишите ключ NewDsk=Y в итоге должно получиться наподобие

Код:

C:\путь к AVZ\avz4\avz.exe NewDsk=Y

4) Попробуйте загрузиться в обычном режиме и сделать логи с помощью AVZ.

[Bruzon]

Я так понял, надо перенести папку avz4 со здорового компа на больной и прописать на больном свойства в ярлык. А с помощью какой утилиты это проще сделать? В uVS не пойму как это сделать.

[regist]

А с помощью какой утилиты это проще сделать?

вы раньше писали, что делали аналогичные операции

Я к тому же через диспетчер файлов почистил папки temp и startup - тоже не помогло,

через сам uVS сделать будет проблематично, а вот через FAR который идёт в комлекте с ним если вы скачали образ диска с uVS это сделать можно. Или какой диск вы использовали для загрузки при создание лога uVS ?

[thyrex]

вы раньше писали, что делали аналогичные операции

С помощью KRD автор темы это делал

[Bruzon]

У меня почему-то Kaspersky Rescue Disk перестал запускаться, не подхватывается загрузка с флешки. Я раньше через него все и делал, теперь просто не могу загрузить, сколько бы я раз не форматировал флешку и не записывал заново с помощью утилиты rescue2usb. Скачал загрузочную ХР, а она с флешки не запускается, выдает ошибку потери hal.dll

[thyrex]

Что мешает сделать загрузочный диск вместо флешки?

- - - Добавлено - - -

Кстати, папки Temp все возможные просматривали?

[Bruzon]

Удалось-таки найти LiveCD работоспособный, прогоняю все AVZ-ом.

- - - Добавлено - - -

Вот лог сканирования диска С на зараженном компе.

[thyrex]

Прочтите в правилах, какие логи AVZ нам нужны

[Bruzon]

Прошу простить, голова ночью туго соображала. Вот нужные логи от AVZ и HijackThis

[thyrex]

C:\Users\Igor\Desktop\twitch.exe - файл на Рабочем столе Вам известен?

[Bruzon]

вообще twitch это плагин для видеомонтажа, но он не должен быть на раб. столе и я его там не замечал. Его место в папках Adobe PremierPro. Может быть, он скрытый там, или проделка вируса? Надо удалить его?

[thyrex]

Нет, не трогайте

Попробуйте сделать такие логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT

[Bruzon]

Логи вышеуказанных программ

[thyrex]

C:\Users\Igor\libnspr4.dll проверьте на virustotal
Ссылку на результат проверки сообщите

Удалите в МВАМ только указанные ниже записи

Код:

Обнаруженные ключи в реестре:  1
HKCU\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> Действие не было предпринято.

Объекты реестра обнаружены:  1
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Плохо: ("regedit.exe" "%1") Хорошо: (regedit.exe "%1") -> Действие не было предпринято.

Обнаруженные папки:  1
C:\ProgramData\srtserv (Worm.AutoRun) -> Действие не было предпринято.

Обнаруженные файлы:  32
C:\ProgramData\srtserv\task.dat (Worm.AutoRun) -> Действие не было предпринято.
C:\ProgramData\srtserv\set.dat (Worm.AutoRun) -> Действие не было предпринято.

[Bruzon]

https://www.virustotal.com/ru/file/8...fadd/analysis/
Ссылка на результат проверки dll.

А указанные объекты удалить пока не могу, заново делаю сканирование МВАМ, потому как перед сканированием RSIT мне пришлось закрыть МВАМ, как указано в инструкции.

Работаю с больного компа хитрым способом - через AVZ открыл браузер хром, через пункт "проверить длл", он сразу открывает браузер по умолчанию. А в качестве проводника использую тот же хром - закачиваю файл, жму "показать в папке" и он мне открывает папку))) Окно баннера при этом не видно, но оно есть, потому как отсутствует рабочая панел и все значки рабочего стола, между прогами переключаюсь альт-табом.

[thyrex]

Когда закончите с МВАМ

Сделайте лог ComboFix