И еще один винлокер со ст. 242.1 УК РФ

[dlenacsm]

При переходе по ссылке из популярного справочника (не он-лайн а на винте) ДубльГИС на сайт одной из томских фирм медоборудования сразу без открытия запрашиваемого сайта компьютер был поражен тем же винлокером что и в теме http://virusinfo.info/showthread.php?t=102734, только номер телефона для "штрафа" другой (интересно как вообще происходит заражение, на компе файерволл Seagate и антивирус NOD). Здесь с ноутбука.
Точно так же как и у товарищей по несчастью DR web Live CD от 03.06.11 ничего не нашел (интересно почему). чтобы сэконмить время сразу загрузился с ERD как советовали товарищу по несчастью просмотрел реестр:
в реестре
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
userinit значение C:\WINDOWS\system32\userinit.exe
shell
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
ветка
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
параметр
AppInit_DLLs
значение ПУСТО

что делать дальше?

[Info_bot]

Уважаемый(ая) dlenacsm, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с системы, аналогичной заблокированной)
2. Загрузиться с Live CD
3. Переименовать файл C:\documents and settings\all users\application data\22cc6c32.exe, удалить файлы userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache)
4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
5. Исправляете параметр shell, где должно быть указано explorer.exe

Пробуете стартовать в проблемной системе

Если загрузка пройдет успешно, не торопитесь уходить. Вполне возможно, что будут остатки, которые нужно будет добивать

[dlenacsm]

к сожалению проблематично быстро найти userinit.exe и taskmgr.exe , так как сейчас пишу с ноута на котором 7-ка, а на зараженном компе XP SP3. может подскажете где качнуть эти файлы...

Добавлено через 28 минут

пока ждал ответа попытался переименовать 22СС6С32.exe в bak. и эксплорер ERD и имевшийся в системе и запустившийся FAR сказали что не могут переименовать так как access denied

[thyrex]

Если заблокирован XP SP3, то вот вам файлики http://ifolder.ru/24080898

[dlenacsm]

спасибо за файлики. так как 22CC6C32.exe не переименовывался - я его удалил. система загрузилась. сделал все по правилам кроме подключения к инету. провайдер спит и некому переключить мак адрес с ноута обратно на основной комп. (надо купить рутер ). поэтому делал все на основном компе потом на флэшке перенес на ноут логи и отправляю их.

[thyrex]

Сделайте лог полного сканирования МВАМ

[dlenacsm]

Лог прилагаю. в момент сканирования работал NOD и что то там находил и удалял. в вашем описании не было требования выключать его при сканировании MBAM.

[thyrex]

Удалите в МВАМ только указанные строки

Код:

Зараженные файлы:
c:\documents and settings\Admin\local settings\Temp\jar_cache329294665535148919.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache5897586448652715158.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\RECYCLER\S-1-5-18\Dc2.exe (Spyware.Passwords.XGen) -> No action taken.
c:\RECYCLER\S-1-5-18\Dc5.exe (Spyware.Passwords.XGen) -> No action taken.