Показано с 1 по 12 из 12.

Помогите, кто может! Комп блокирован (заявка № 86226)

  1. #1
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35

    Question Помогите, кто может! Комп блокирован

    Сразу прошу прощения, что не по правилам. Не могу.

    Комп был блокирован вымогателем. Сразу после входа под пользователем на экране появлялось требование отправить 400 рублей на телефон в Билайне - и больше ничего.

    В процессе сканирования на вирусы с LiveCD было обнаружено 4-6 файлов в Windows\system32 и удалены.

    Теперь ситуация такая:
    - в Safe mode система не грузится, сбрасывается на POST
    - В нормальном режиме после входа пользователем вижу только фоновый рисунок рабочего стола и больше ничего. На кнопки не реагирует, на Ctrl-Alt-Del сообщает, что запуск Диспетчера блокирован Администратором
    - при попытке зайти утилитой для сброса пароля выходит сообщение, что у тома NTFS неожиданный флаг - 0x4000 и поэтому доступа на запись нет.

    Это можно как-то разгрести или остается только спасать данные и переустанавливать систему?

    Добавлено через 32 минуты

    Нашел кое-какие идеи в инете, пока буду пробовать.
    Я бы удалил эту тему, но не нашел кнопки.
    Пока прошу гуру этой темой не заниматься.
    Последний раз редактировалось vgo; 24.08.2010 в 16:51. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
    2.Загрузитесь с этого диска.
    3.Кнопка Пуск - Выполнить - erdregedit
    4.Посмотрите в реестре:
    ветка
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    userinit
    параметр
    shell
    а также
    ветка
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    AppInit_DLLs
    Содержимое этих параметров напишите в своем сообщении

  4. #3
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Спасибо за ответ, но я уже написал вчера, что нашел в инете рецепты.
    На данный момент управление системой восстановлено, эксплорер работает, диспетчер задач запускается, safe mode работает и я выполнил стандартную процедуру для запроса о помощи. Логи загрузил.

    Бросилось в глаза, что на доступ к каким-то антивирусным сайтам прописан статический маршрут. файл hosts имеет нулевую длину, это вроде неправильно. Наверное, еще не вся гадость вычищена.

    Насчет ERD commander есть сомнения. Как уже было написано, близкий к этому Live CD (я пытался стереть пароль администратора, но и редактор реестра там есть) отказался править диск из-за неожиданного флага тома NTFS.
    Последний раз редактировалось vgo; 20.09.2010 в 08:53.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1.Профиксите в HijackThis
    Код:
    O2 - BHO: Rmn plugin - {47D92EB6-E52C-4cda-92A6-2369963F4913} - jetaccss.dll (file missing)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     DelBHO('{88888888-8888-8888-8888-888888888888}');
     DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\msmedia.dll','');
     QuarantineFile('\\?\globalroot\systemroot\system32\mqwOCrW.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\fS7MIKN.exe','');
     QuarantineFile('C:\WINDOWS\CZASJJJA.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
     QuarantineFile('C:\WINDOWS\taskmon.exe','');
     DeleteService('Task Monitor');
     DeleteFile('C:\WINDOWS\taskmon.exe');
     DeleteFile('C:\WINDOWS\CZASJJJA.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CZASJJJA');
     DeleteFile('\\?\globalroot\systemroot\system32\fS7MIKN.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\mqwOCrW.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\msmedia.dll');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(20);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_DeleteSvc('FCI');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  6. #5
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Файл сохранён как 100825_185250_quarantine_4c752e42c21b0.zip
    Размер файла 4118
    MD5 51197e1c49f67e0a33a7dab4fdab2438

  7. #6
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Отсканировал
    Последний раз редактировалось vgo; 20.09.2010 в 08:53.

  8. #7
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    RSIT
    Последний раз редактировалось vgo; 20.09.2010 в 08:53.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Remote Administrator - сами ставили?
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteService('symavc32');
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
     DeleteFile('msansspc.dll');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\control\securityproviders','SecurityProviders','msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,');
     DeleteFile('C:\WINDOWS\system32\tmp.tmp');
     DeleteFile('C:\Program Files\Common Files\keylog.txt');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог RSIT
    - Сделайте повторный лог virusinfo_syscheck.zip

  10. #9
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    RAdmin - да, по-видимому, сами. Раньше очень любили эту программу, сейчас сносим. Вот буду после лечения затыкать дыры на компе, и ее удалю тоже.

    Кстати, где можно брать свежий скрипт для поиска уязвимостей ScanVuln.txt?
    Последний раз редактировалось vgo; 20.09.2010 в 08:53.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    В логах чисто.

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
    На этом можно считать лечение законченным.

  12. #11
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Да, конечно, все это я собирался проделать. Большое спасибо за помощь!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) vgo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 03.08.2011, 05:00
    2. Комп с ума сошел ... помогите кто может ....
      От filmatov в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 22.02.2009, 01:55
    3. Тормозит комп. Может троян?
      От maximus007 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.06.2008, 01:31
    4. Может вирус, а может руки кривые. Помогите
      От Badhisatva в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.06.2007, 21:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01565 seconds with 16 queries