Показано с 1 по 12 из 12.

Полностью заблокированый компьютер: winlocker (заявка № 88004)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    7
    Вес репутации
    28

    Done Полностью заблокированый компьютер: winlocker

    Итак. Тело: Портативная Персональная Электронно Вычислительная Машина (я не смеюсь, так у ноута на шильдике написано :-)) iru Intro-1214L Combo
    На нем стоят 2 ОС. Как я понял, родная WinXP Home со сбитой активацией и в другую папку поставлена XP Pro SP2 в нее и входит владелец под учетной записью "Евгений".
    Троян, внешне похожий на те, чьи скриншоты есть на http://www.drweb.com/unlocker/index/?lng=ru как Winlocker.2354 и Winlocker.2404 только телефоный номер 89646378219 и сумма 390 руб. Ни в безопасном режиме, ни через Справку Экранной Лупы, зайдти не удалось.
    1. Онлайн генераторы кодов, вышеупомянутый, ваш и ESET результатов не дали.
    2. Был скачан и обновлен DrWeb LiveCD 5.0.3. Сканирование шло очень долго, и были обнаружены 2 зараженых файла. Erasme37565.exe в папке C:\Documents and Settings\15\Local Settings\Temp и xxx_video.avi там же в папке C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5 (владелец клялся и божился, что на порно сайты - ни-ни ) Честно говоря, так и не понял, почему учетная запись называется 15... Их там кстати оч. много... учеток.
    3. После удаления этих файлов, через Midnight Commander удалил папку System Volume Information и перезагрузился. К моему разочарованию, вымогатель остался (
    4. Скачал, записал на CD и обновил Kaspersky Rescue Disk 10.0.23.29
    Сканирование опять длилось о-о-о-о-очень долго и на 60% я не выдержал, психанул и остановил проверку.
    5. Однако, после этого, к моему удивлению Виндоус загрузилась в безопасном режиме. Правда, кроме черного рабочего стола и курсора, ничего нет. На Win+E Win+R не реагирует. Но хорошо, что работает Ctrl+Alt+Del и я запустил Эксплорер. Скопировал с флешки в корень свеже обновленный avz 4.35, HiJackThis 2.0.4 и прилагаю логи.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,464
    Вес репутации
    1269
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    F2 - REG:system.ini: Shell=C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe','');
     QuarantineFile('C:\WINNT\system32\amvo.exe','');
     QuarantineFile('C:\WINNT\system32\avpo.exe','');
     QuarantineFile('C:\WINNT\system32\nsvideo.dll','');  
     QuarantineFile('C:\Documents and Settings\15\Application Data\msmedia.dll','');     
     QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1642491965-601303314-1214\mprsvrh.exe','');
     DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1642491965-601303314-1214\mprsvrh.exe');
     DeleteFile('C:\Documents and Settings\15\Application Data\msmedia.dll');
     DeleteFile('C:\WINNT\system32\avpo.exe');
     DeleteFile('C:\WINNT\system32\amvo.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','avpa');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
     DeleteFile('C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe');  
     DelBHO('9D64F819-9380-8473-DAB2-702FCB3D7A3E');  
     DelBHO('88888888-8888-8888-8888-888888888888');  
     DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635613');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(16);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Загрузитесь в нормальном режиме
    - Сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    7
    Вес репутации
    28
    Выкинул к черту из автозагрузки Майлсру, ДубльГИС, Скайп и проч, выгрузил AVG.
    Сканировалось в нормальном режиме, логи прилагаются.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,464
    Вес репутации
    1269
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);  
     QuarantineFile('C:\WINNT\system32\SVCH0ST.EXE','');
     QuarantineFile('C:\WINNT\system32\Zsnkstm.exe','');
     DeleteFile('C:\WINNT\system32\Zsnkstm.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  6. #5
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    7
    Вес репутации
    28
    Готово. Ничего, что я их не паролирую, не смертельно?

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,464
    Вес репутации
    1269
    Нормально, главное карантин в тему не пихать. Что с проблемой?

  8. #7
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    7
    Вес репутации
    28
    Рад сообщить: ожила персональная ЭВМ! Тяжко ей с 256 Мб ОЗУ, но скрипит. )
    Одно смущает. При последнем сканировании avz ругнулся на некую Mail Bomb, что за зверь такой?
    Ну и интересуюсь, неужели сподобились еще неизвестную науке гадость подцепить?

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,464
    Вес репутации
    1269
    По поводу Mail Bomb можно не беспокоиться.

    Ни один зверь не пожелал идти в карантин, но все довольно известные, вот это - C:\Documents and Settings\15\Local Settings\Temporary Internet Files\Content.IE5\5YKM88PB\xxx_video_211.avi[1].exe в последнее время очень распространено.

  10. #9
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    7
    Вес репутации
    28
    Еще раз благодарю за быструю и качественную помощь!
    Но прежде чем закрыть тему, можно вопрос общего плана? Все эти сервис-паки, патчи, фиксы, бла-бла-бла, приносят хоть какую то практическую пользу? Именно в плане иммунизации к вирусам? А то есть ощущение, что Майкрософт сама настежь распахнула ворота для вымогателей, своим дурацким WGA.

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,464
    Вес репутации
    1269
    Да, обновляться нужно, иначе система дыпявая пропустит что угодно.

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3

    - Поставте все последние обновления системы Windows - тут

  12. #11
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    7
    Вес репутации
    28
    Ну, что ж. Если вы позволите, пара советов моим товарищам по несчастью. Надеюсь, это не нарушит правила.
    Братье и сестры!
    Всё что сказано выше - истинно и да будет так! Но я понимаю, что не все из нас могут заплатить лихоимцу Биллу с ватагою его многочисленной. И не у всех у нас встанет сей СП3 и иже с ним. ) И потому вот мои мои скромные советы.
    1. перед установкой СП3 проверьтесь, надо ли вам вообще эту затею начинать. ццц. ***** и Тест WGA/OGA вам в помощь. (работает только под богопротивным ишаком) Если результат положительный - переходим к совету 2.
    Совет 2. Вместо сотонинского мелкомягкого ресурса, советую вам благодатный ццц. *****
    3. Если вы попали в такую же тяжелую ситуацию, попробуйте спасательный Лайв СиДи ццц. ******* Там уже вшит avz 4.35 умеющий работать с удаленным реестром, что есть хорошо.

    Спасибо за внимание, и извините, если нарушил правила, исключительно для общей пользы, чтоб у уважаемых хелперов было мало работы и много ништяков!
    Аминь!

    Добавлено через 14 минут

    Ну что ж, раз модератор выпилил линки - значит таковы правила. кому интересно что же там было - в личку.
    Последний раз редактировалось SibireanUrsus; 17.09.2010 в 19:50. Причина: Добавлено

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 17
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) SibireanUrsus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. компьютер полностью заблокирован
      От macciato в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.04.2011, 04:01
    2. Порнобаннер заблокировал компьютер (Winlocker)
      От perkus в разделе Описания вредоносных программ
      Ответов: 1
      Последнее сообщение: 01.04.2011, 15:12
    3. Ответов: 1
      Последнее сообщение: 16.02.2010, 02:39
    4. Вирус полностью заблокировал компьютер
      От Aquarelle в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 14.02.2010, 01:46
    5. Помогите полностью очистить компьютер
      От Psyhister в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.01.2010, 21:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01108 seconds with 16 queries