Не получается убрать Баннер

[Pillat]

Здравствуйте.
У меня лицензионная 64-битная Windows 7 домашняя расширенная на ноутбуке Aser. Вчера утром появился баннер-вымогатель, полностю блокирующий систему. Доступен только безопасный режим.
Номера телефона мошенников меняются периодически - 9643859010 или 9633411345. в Online сервисах DrWeb и Касперского кодов на эти номера нет. Пытался исправить все по рекомендации с сайта
http://www.notebook.pc812.ru/novosti...-bannerov.html - ничего не помогло. Скачал свежую утилиту Dr.Web CureIt!
Запустил из безопасного режима полную проверку, результата нет. Также из безопасного режима редктировал реестр - HLKMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon :
Userinit - C:WINDOWSsystem32userinit.exe
Shell - Explorer.exe
Ветка рееста заблокирована от изменений. Ничего не помогло. Прошу помочь, логи во вложениях сделаны из безопасного режима на зараженном ноутбуке.

[Info_bot]

Уважаемый(ая) Pillat, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Registry Editor (около 120 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
– установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
– выберите Kaspersky Registry Editor
3. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветки HKEY_LOCAL_MACHINE и HKEY_USERS
Проверьте все возможные параметры Run, имеющиеся в этих ветках, на наличие неизвестных программ для запуска

[Pillat]

Запустил Редактор реестра из командной строки в безопасном режиме - проверил указанные ветки - ничего подозрительного не нашел
Аналогично загрузил KRE_1.0.4.beta (с болваники) прошел поиском по параметру Run в реестре
Баннер продолжает загружаться при запуске

[thyrex]

Запустил Редактор реестра из командной строки в безопасном режиме

Проверяли поиском в реестре по имени раздела Run?
AVZ можете запустить из командной строки в безопасном режиме? Если да, тогда приступайте

[Pillat]

AVZ запускал уже, сначала файл-восстановление системы не помогло, затем сканирование - выполнить лечение тоже без результата
Нашел только это:
"7. Эвристичеcкая проверка системы
>>> C:\Windows\system32\Drivers\system32.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\Windows\system32\Drivers\system32.exe)
>>> C:\Windows\System32\drivers\System32.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Autorun) (высокая степень вероятности)
Проверка завершена"

Run проверял и по разделам и по параметрам, очень много ключей - разобраться трудно, но вроде все штатно постороннего не заметил

[polword]

попробуйте выполнитьтакой скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\Windows\System32\drivers\System32.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[Шапельский Александр]

Если скрипт не получится выполнить, тогда выполните такой:

Код:

begin
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\drivers\System32.exe','');
 DeleteFile('C:\Windows\System32\drivers\System32.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

[Pillat]

После выполнения скрипта и перезагрузки баннер пропал. Правда слетела активация лицензинная Windows, но кажется это мои косяки в реестре. Буду восстанавливать.
Прикрепленные файлы сделаны уже в штатном режиме Windows 7.
Огромное спасибо за помощь!

P.S. Возможно это уже другой запрос, но в лог файле много маскирующихся процессов:
" >> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 4 System.exe
>>>> Обнаружена маскировка процесса 360 smss.exe
>>>> Обнаружена маскировка процесса 500 csrss.exe
>>>> Обнаружена маскировка процесса 588 C:\Windows\system32\wininit.exe
>>>> Обнаружена маскировка процесса 624 csrss.exe
>>>> Обнаружена маскировка процесса 648 services.exe... и т.д."
Вопрос: это сильно опасно и если да, то как это исправить??
во всяком случае запускаю проверку AVZ на ночь

Еще раз большое спасибо

[thyrex]

В логах ничего необычного. На маскировки внимание не обращайте. Для Вашей системы - это нормальная реакция AVZ

[Pillat]

Спасибо за помощь и консультацию

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\ni\\doctorweb\\quarantine\\mpr.exe.bak - not-a-virus:PSWTool.Win32.MPR.heur ( DrWEB: Trojan.PWS.Siggen.22542 )
  2. c:\\users\\ni\\doctorweb\\quarantine\\mpr.exe.bak - not-a-virus:PSWTool.Win32.MPR.heur ( DrWEB: Trojan.PWS.Siggen.22542 )
  3. c:\\windows\\system32\\drivers\\system32.exe - Trojan-Ransom.Win32.PornoBlocker.acdh ( DrWEB: Trojan.Winlock.4149, BitDefender: Trojan.Generic.6647077, NOD32: Win32/Delf.QAI trojan, AVAST4: Win32:Rootkit-gen [Rtk] )