Проблема с блокировщиком Windows

**zlobeb** · 13.05.2011, 16:19

вечером 6 мая обнаружил блокировщик Винды (лицензионная home professional 7). Баннер предлагал отправить 350 р на номер (номер при перезапуске меняется, но их всего 4-5). С помощью утилиты Dr.Web и Kaspersky Deblocker выяснил, что это, скорее всего Trojan Winlock 2741, его открывает код разблокировки 99885522 (для всех телефонов). При вводе кода баннер исчезает, загружается система, затем он еще раз всплывает, и, при повторном вводе кода, исчезает окончательно. До следующей перезагрузки. Откат системы не помог. Проверка Dr.Web CureIT выявила и вылечила Trojan Fakealert 20437. При перезагрузке баннер появился. Проверка Kaspersky Virus Removal Tool 2010 выявила HackTool.Win32.Kiser.aeb, причем не на системном диске, в папке System Volume Information, образовавшейся полгода назад при слиянии 2х логических дисков Акронисом. Касперский не смог вылечить HackTool.Win32.Kiser.aeb, причина - задача остановлена. Пробовал вручную удалить инфицированный файл - не помогло, после ребута все по-прежнему.
Прикладываю логи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.05.2011, 16:19

Уважаемый(ая) zlobeb, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**polword** · 13.05.2011, 16:58

1.Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=explorer.exe "C:\Users\Denis\AppData\Local\Temp\123.exe"

2. Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Denis\AppData\Local\Temp\123.exe','');
 DeleteFile('C:\Users\Denis\AppData\Local\Temp\123.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**zlobeb** · 15.05.2011, 22:14

Указанные шаги сделал. После первого скрипта AVZ блокировщик не всплывал. Логи прикладываю. Карантин прислать не могу - ваш загрузчик ругается, мол, "этот файл уже был загружен". Сам архив пуст.