Показано с 1 по 10 из 10.

Блокировка всего, окно поверх. (заявка № 69538)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    55
    Вес репутации
    31

    Exclamation Блокировка всего, окно поверх.

    Перезагрузился комп, вылезло окно наиболее схожее с Trojan.Winlock 100/Trojan.Winlock97 по классификации с дрв. Телефон 8353, код 7488015 - стандартно.
    Коды ни с дрв ни с касперского не помогли.
    В безопасном режиме удалось загрузиться один раз с одной из двух административных учеток, далее блок пошел и там.
    В корне каждого раздела, кроме того, на котором установлена система, есть autorun.inf и md.exe.
    На данный момент сижу с резервной винды на другом разделе, логи, соответственно, с поблоченной винды снять не могу. Могу выслать заархивированные ауторан и мд, в которых информация все же есть.
    Ауторан содержит текст:
    [AutoRun]
    label=Съемный диск
    action=Открыть папку для простмотра файлов
    useautoplay=1
    icon=C:\WINDOWS\system32\shell32.dll,4
    shellexecute=md.exe
    shell\auto=&Автозапуск
    shell\auto\comand=md.exe
    shell\open=&Открыть
    shell\open\command=md.exe
    shell\explore=&Проводник
    shell\explore\comand=md.exe
    shell\explore=&Найти
    shell\find\comand=md.exe
    [AutoRun]
    label=Съемный диск
    action=Открыть папку для простмотра файлов
    useautoplay=1
    icon=C:\WINDOWS\system32\shell32.dll,4
    shellexecute=md.exe
    shell\auto=&Автозапуск
    shell\auto\comand=md.exe
    shell\open=&Открыть
    shell\open\command=md.exe
    shell\explore=&Проводник
    shell\explore\comand=md.exe
    shell\explore=&Найти
    shell\find\comand=md.exe
    в сборке тотал коммандера можно узнать какую-то инфу про мд, если надо, могу копировать. В частности, удается установить, что он влияет на GDI32.dll, Kernel32.dll и USER32.dll из system32.

    Есть болванка с ЕРДкоммандером, но он тормозит ТАК, что проще сделать бэкап настроек и переустановить винду на том разделе, чего делать категорически не хочется.

    Еще очень подозрительным кажется файл D:\Documents and Settings\одмин\ip.txt, содержащий информацию о настройках подключения и т.д. Уточню, что содержится только в папке учетки вирусованной винды.
    Настройка протокола IP для Windows



    Имя компьютера . . . . . . . . . : *вырезано*

    Основной DNS-суффикс . . . . . . :

    Тип узла. . . . . . . . . . . . . : *вырезано*

    IP-маршрутизация включена . . . . : *вырезано*

    WINS-прокси включен . . . . . . . : *вырезано*

    Порядок просмотра суффиксов DNS . : *вырезано*



    Подключение по локальной сети - Ethernet адаптер:



    DNS-суффикс этого подключения . . : *вырезано*

    Описание . . . . . . . . . . . . : *вырезано*

    Физический адрес. . . . . . . . . : *вырезано*

    Dhcp включен. . . . . . . . . . . : *вырезано*

    Автонастройка включена . . . . . : *вырезано*

    IP-адрес . . . . . . . . . . . . : *вырезано*

    Маска подсети . . . . . . . . . . : *вырезано*

    Основной шлюз . . . . . . . . . . : *вырезано*

    DHCP-сервер . . . . . . . . . . . : *вырезано*

    DNS-серверы . . . . . . . . . . . : *вырезано*

    Аренда получена . . . . . . . . . : *вырезано*

    Аренда истекает . . . . . . . . . : *вырезано*



    фуфлонет - PPP адаптер:



    DNS-суффикс этого подключения . . :

    Описание . . . . . . . . . . . . : *вырезано*

    Физический адрес. . . . . . . . . : *вырезано*

    Dhcp включен. . . . . . . . . . . : *вырезано*

    IP-адрес . . . . . . . . . . . . : *вырезано*

    Маска подсети . . . . . . . . . . : *вырезано*

    Основной шлюз . . . . . . . . . . : *вырезано*

    DNS-серверы . . . . . . . . . . . : *вырезано*

    *вырезано*

    NetBIOS через TCP/IP. . . . . . . : *вырезано*

    PS: простите за довольно дебильные объяснения - почти 9 утра, мозги не варят и тянет на тупые пафосные речи.
    Последний раз редактировалось murella; 01.02.2010 в 22:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb (ftp://ftp.drweb.com/pub/drweb/livecd...veCD-5.0.0.iso) или Rescue Disc от Kaspersky Lab (http://devbuilds.kaspersky-labs.com/...escue_2008.iso). Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь (http://virusinfo.info/showpost.php?p=557652&postcount=5), после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.

  4. #3
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    55
    Вес репутации
    31
    Касперский не видит ни одного раздела, а дрв вообще не загружается ни в графическом ни в текстовом режиме, показывая мерцающий черный экран после того как загрузится.
    Кашпировский на одной из стадий загрузок предлагает переделать файловую систему, которая была создана перед установкой венды акронисом. Ага, убить файловую систему со всеми данными, чтобы перевести ее в пригодный для недопиленного линукса вид для последующей проверки. Прелестно!
    Им фат с экстами подавай что ли?!

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Попробуйте обратиться к контент-провайдеру "Первый Альтернативный".

  6. #5
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    55
    Вес репутации
    31
    Код подобран, теперь появились другие стандартные проблемы:
    -начисто отсутствует какое-либо содержимое рабочего стола, то есть explorer.exe, судя по всему, вырублен.
    -конечно же, недоступен диспетчер задач.

    Пробовала прописать в автозагрузку тотал для использования вместо оболочки, но толку это не дало - он не запустился. Соответственно, по прежнему не могу снять логи.

    UPD: система восстановлена.
    По прежнему нет доступа к диспетчеру задач.
    Сделано сканирование.
    Последний раз редактировалось murella; 01.02.2010 в 22:22.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Отключите восстановление системы!!!
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
     QuarantineFile('F:\md.exe','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('E:\md.exe','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('D:\md.exe','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\user32.exe','');
     QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
     QuarantineFile('c:\windows\system32\netprotocol.dll','');
     DeleteFile('c:\windows\system32\netprotocol.dll');
     DeleteFile('C:\WINDOWS\system32\user32.exe');
     DeleteFile('D:\autorun.inf');
     DeleteFile('D:\md.exe');
     DeleteFile('E:\autorun.inf');
     DeleteFile('E:\md.exe');
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\md.exe');
     DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(5);
    ExecuteRepair(8);
    ExecuteRepair(11);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

  8. #7
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    55
    Вес репутации
    31
    логи

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    В логах ничего плохого. Обновите Internet Explorer до 8 версии

  10. #9
    Junior Member Репутация
    Регистрация
    15.09.2009
    Сообщений
    55
    Вес репутации
    31
    Цитата Сообщение от DefesT Посмотреть сообщение
    В логах ничего плохого. Обновите Internet Explorer до 8 версии
    Каков смысл данного действия, если ИЕ не использую в принципе? Лиса с аддонами для блока всякой дряни, в редких случаях опера.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\netprotocol.dll - Backdoor.Win32.Buterat.eh ( DrWEB: Trojan.Packed.19647 )
      2. c:\windows\system32\user32.exe - Trojan-Ransom.Win32.Chameleon.bt ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@ai9FRTdc, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. d:\autorun.inf - Trojan.Win32.AutoRun.ym ( NOD32: Win32/LockScreen.AX trojan )
      4. d:\md.exe - Trojan-Ransom.Win32.Chameleon.bt ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@ai9FRTdc, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Rootkit-gen [Rtk] )
      5. e:\autorun.inf - Trojan.Win32.AutoRun.ym ( NOD32: Win32/LockScreen.AX trojan )
      6. e:\md.exe - Trojan-Ransom.Win32.Chameleon.bt ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@ai9FRTdc, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Rootkit-gen [Rtk] )
      7. f:\autorun.inf - Trojan.Win32.AutoRun.ym ( NOD32: Win32/LockScreen.AX trojan )
      8. f:\md.exe - Trojan-Ransom.Win32.Chameleon.bt ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@ai9FRTdc, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) murella, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 11.02.2010, 18:00
    2. Баннер поверх окон (((
      От Galvarra в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.01.2010, 12:27
    3. Ответов: 4
      Последнее сообщение: 11.01.2010, 17:22
    4. Пошлая реклама поверх всех окон
      От Артур15 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.08.2009, 08:34
    5. Окно рекламы поверх браузера
      От Monolith в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 18.09.2008, 08:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01211 seconds with 16 queries