2 марта на компьютер из Интернета загрузился вирус-блокировщик ОС Windows XP. Видимо при просмотре какой-то страницы через iE. Далее при работе на компьютере высветилось окошко о блокировании Windows. Пришлось выключить компьютер. Загрузившись с загрузочного диска RescueDisk с ОС Линукс и старой нерабочей версией антивируса DrWeb, нашел и удалил подозрительный exe-файл в папке Documeents and Settings\1\. Правда не сразу и при первой перезагрузке штатной операционной системы вместо меню выбора пользователя высвечивалось окно блокировщика. После второй попытки (когда был удален именн exe-файл) загрузилось непривычное меню выбора пользователя (не с графическими кнопками картинками, а с текстовыми полями, причем даже без выпадающего списка пользователей). Попытки входа в Windows (точнее загрузки сеанса пользователя) приводят к автоматическому завершению сеанса сразу и возврату к окошку выбора пользователя. Рабочий стол и меню Пуск даже не появляются. Сразу возникает окошечко "Завершение сеанса". Попытка запуска "Безопасного режима" Windows тоже не проходит, т.к. компьютер уходит в перезагрузку даже не запуская графический режим.
Помогите восстановить работоспособность операционной системы Windows XP после вирусной атаки.
P.S. Т.к. загрузочный ЛайвСиди у меня с Линуксом, то пока не могу запускать на поврежденном компьютере никакие windows-программы, включая утилиты для диагностики.
Последний раз редактировалось John Fisher; 02.03.2013 в 23:20.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) John Fisher, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Спасибо за ответ. Привожу данные в соответствии с указанной инструкцией.
Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit C:\Documents and settings\1\1618750.exe
параметр shell C:\Documents and settings\1\1618750.exe
параметр UIHost C:\Documents and settings\1\1618750.exe
К сообщению прилагаю архив с экспортированными ветками реестра, указанными и подозрительными.
P.S. Дополнительный вопрос. Антивирус Касперского с Kaspersky RescueDisk нашел вирус HEUR:Exploit.Java.C в файле C:\Documents and settings\1\Application data\Sun\Java\Deployment\Cache\6.0\46\1c2abae-56dcd65c. Можно и надо ли его удалять, а то сам же Касперский пишет в предлагаемых действиях что лечение невозможно и либо рекомендует оставить архив как есть, либо удаляляйте на свой страх и риск. Степень угрозы вируса он оценивает как высокую. К сожалению в файлах Явы ничего не понимаю и удалил бы, но вот рекомедация сохранить смущает...
Последний раз редактировалось John Fisher; 03.03.2013 в 19:07.
Исправил параметры в Winlogon в ветках HKLM и HKU. На первый взгляд все стало грузится и работать как раньше. Теперь наверное надо вычистить реестр от ссылок на файл с вирусом? И проверить на всякий случай свежим (пока еще) антивирусником с диска Касперского.
Проверил пока антивирусом системный диск C. Кроме упомянутого выше вируса в java-файле нового ничего не нашлось, зараженный файл разрешил антивируснику удалить в резервное хранилище (если оно у него не в оперативной памяти, конечно, работает-то он с закгрузочного диска)... Поставил на проверку следующий, но очень уж долго он у меня проверяет, хотя все настройки по умолчанию...
Отчет по диску C прилагается. После проверки антивирусом еще утилитами AVZ и HijackThis попробую просканировать систему.
Уфф... Наконец-то удалось дождаться когда антивирус проверит диски... Причем после 2,5 дней для диска D, остальные сколько ни пытался проверить, все время давался прогноз 20 (!) дней из-за очень придирчивого отношения к инсталляционным пакетам... Пришлось последние 3 диска проверять по упрощенной схеме. Ничего найдено не было.
Далее запустил AVZ и HijackThis. Все логи прилагаю. AVZ поместил на карантин один подозрительный файл.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\WINDOWS\system32\yhsrcxb.dll','');
QuarantineFile('C:\Documents and Settings\1\1618750.exe','');
QuarantineFile('C:\WINDOWS\Temp\TPLCAICVVWQPKA.exe','');
DeleteFile('C:\WINDOWS\Temp\TPLCAICVVWQPKA.exe');
DeleteFile('C:\Documents and Settings\1\1618750.exe');
DeleteFile('C:\WINDOWS\system32\yhsrcxb.dll');
DeleteFile('C:\WINDOWS\system32\servises.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
DeleteService('TPLCAICVVWQPKA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Эту программку скачал скорее всего с бесплатного сайта для закачки и хранения файлов в Интернете. Насколько помню она предоставляет физический интерфейс на загрузку локальных файлов с компьютера в Интернет на их сайт. А что, она слишком зловредная?
Скрипты попробую сейчас выполнить и логи сделать, насчет обновлений тоже попробую, но у меня интернет с сотового модема, большие объемы не скачать.
Файл с карантином закачал. Только я некоторые файлы, указанные в скрипте, на диске проверял и не нашел. Этот - '1618750.exe', - точно удалял сам, т.к. именно на него пало подозрение, когда просматривал системные папки с загрузочного LiveCD.
Результат загрузки
Файл сохранён как 130309_191330_quarantine_513b89dae287f.zip
Размер файла 2324
MD5 25e4f9030a33e8f9afce0f79b4b42217
- - - Добавлено - - -
Загрузил все предложенные скриптом ScanVuln.txt обновления, т.к. они оказались не очень большими и числом всего 15 шт. Контрольный запуск этого скрипта ничего не выявил, значит все обновления установились нормально.
Логи, сделанные AVZ и HijackThis, прилагаю.
Последний раз редактировалось John Fisher; 10.03.2013 в 01:25.
Понятно. Попробую деинсталлировать/удалить этот "бесплатный" загрузчик, все равно крайне редко им пользуюсь.
В остальном, все работает без видимых отличий от довирусного состояния, т.е. пока меня все устраивает.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: