Программа-вымогатель

[Metacomet]

Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.
Чтобы получить код активации, отправьте СМС с кодом "K206815200" на номер "4460" и укажите полученный код активации

Не мог ничего запустить, даже в "Безопасном режиме". Средств восстановления не было, вынул диск и проверил на другой машине. Нашлось около 20 троянов Packed.Win32.Krab.w (вроде так) и один червь. Снова загрузив этот диск, система заработала нормально, но не смог запустить Касперского или установить новый, зайти в реестр. Может ещё что покоцалось.
CureIt! в Безопасном Режиме находил парочку каких-то других троянов и на середине шкалы проверки им PC перезагружался. И так 2 раза.

Спасибо.

[gjf]

Выполните скрипт:

Код:

Procedure DelAppInit_DLLsByFileName(Name : string);
var 
  AppInit_DLLs: string;
  i, j, c, s: integer;
  endSearch, found: boolean;
begin
  if Name = '' then
    exit;
  AppInit_DLLs := RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs');
  endSearch := false;
  while not endSearch do
    begin
      found := false;
      for i := 1 to length(AppInit_DLLs) do
        begin
	  s := 0;
          c := i;
	  for j := 1 to length(Name) do
	    if copy(AppInit_DLLs, c, 1) = copy(Name, j, 1) then
	      begin
	        s := s + 1;
		if s = length(Name) then
		  begin
	            if ((i = 1) and (length(Name) = length(AppInit_DLLs)))
	             or ((i = 1) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) 
	             or ((i + length(Name) - 1 = length(AppInit_DLLs)) and (pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0))
	             or ((pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) then
	              begin
		        found := true;
		        Delete(AppInit_DLLs, i, length(Name));
		      end;  
	          end;
                c := c + 1;
	      end
	    else 
	      break;		  
          if found then
	    break;
	end;
      if not found then
        endSearch := true;
    end;
  i := 1;
  while i < length(AppInit_DLLs) do
    begin
      if pos(copy(AppInit_DLLs, i, 1), ', ') > 0 then
        if pos(copy(AppInit_DLLs, i + 1, 1), ', ') > 0 then
          begin
            Delete(AppInit_DLLs, i, 1);
            i := i - 1;
          end;
      i := i + 1;
    end;
  if copy(AppInit_DLLs, 1, 1) = ',' then
    Delete(AppInit_DLLs, 1, 1);
  if copy(AppInit_DLLs, length(AppInit_DLLs), 1) = ',' then
    Delete(AppInit_DLLs, length (AppInit_DLLs), 1);
  AppInit_DLLs := Trim(AppInit_DLLs);
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', AppInit_DLLs);
end;

Procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
end;
 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelAppInit_DLLsByFileName('C:\WINDOWS\Help\odbcjet.chm:eBaCcuXxcaVf');
 FixUpdate;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить автоматические запросы элементов управления ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
 BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(11); {разблокировка диспетчера задач}
 ExecuteRepair(17); {разблокировка редактора реестра}
 ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя}
 SetAVZPMStatus(false);
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится. Сделайте повторные логи согласно только пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip

[Metacomet]

Благодарю за помощь.

[gjf]

Проблемы исчезли?

[Metacomet]

Да, спасибо.

[gjf]

Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.