Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Блокировка (http://forum.oszone.net/showthread.php?t=195011)

TINA 25-12-2010 20:45 1574485
Блокировка
 
Компьютер сына заблокирован, никуда войти нельзя, СМС послал, деньги отправил, код не получил.
Со своего компьютера пыталась справиться, но...
Касперский написал, что после перезагрузки пройдёт, но ничего не получается
http://support.kaspersky.ru/viruses/deblocker
Dr.web посоветовал код, но перейти на латинский алфавит не получается.

http://www.drweb.com/unlocker/index
Может вы посоветуете что-нибудь.
Помогите, пожалуйста

zirreX 25-12-2010 21:34 1574506
Здравствуйте!

Цитата:
Цитата TINA
Компьютер сына заблокирован, никуда войти нельзя, СМС послал, деньги отправил, код не получил. »
А вот это напрасно.

Первый вариант:

Нажмите Win + U, откроется окно диспетчера служебных программ, программа имеет высокий приоритет и несмотря на банер должна запуститься
Окно диспетчера служебных программ
Нажмите "Запустить"

Откроется Экранная лупа, нажмите на ссылку "Веб-узел Майкрософт", после нажатия откроется Internet Explorer.

Скачайте утилиты AVZ и RSIT, затем вбейте в адресную строку Internet Explorer букву диска, войдите в директорию куда вы скачали утилиты. Подготовьте логи в соответствии с правилами

Второй вариант с Live CD:

1.Скачайте образ ERD Commander (подойдет любой другой LiveCD с возможностью правки реестра) на "здоровом" ПК, запишите на диск.
2.Загрузитесь с этого диска.
3.Кнопка Пуск -> Выполнить -> erdregedit
4.Посмотрите в реестре:

ветка:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значения параметров: UserInit и Shell

Правильное значение для Userinit
Код:
C:\WINDOWS\system32\userinit.exe,
Значение ключа Shell должно быть таким
Код:
Explorer.exe
если значение отличается - исправить на правильное.

ветка:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
значение параметра AppInit_DLLs

Приведите значение этого параметра в вашем сообщении.

После этого подготовьте логи.

TINA 25-12-2010 22:24 1574539
Спасибо за ответ, всё так сложно.
не совсем поняла в какой момент нужно нажимать (?) Win+U//
Буду пытаться.
А пока удалось загрузиться в безопасном режиме.
Вот логи, может поможет разобраться...

thyrex 25-12-2010 22:31 1574544
Эти блокировки сделаны Вами?
Цитата:
>> Блокировка панели управления
>> Включено сокрытие всех элементов на рабочем столе
>> Отключено контекстное меню панели задач
>> Заблокировано изменение свойств экрана
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\lmkrnl.exe','');
 QuarantineFile('C:\WINDOWS\system32\..\suka.old, '');
 DeleteFile('C:\WINDOWS\system32\..\suka.old');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
 DeleteFile('C:\WINDOWS\lmkrnl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой фор-мы

Сделайте новые логи

TINA 25-12-2010 22:34 1574547
Блокировки не делали.
Пытаемся выполнить скрипт.

thyrex 25-12-2010 22:37 1574552
Тогда так еще дополнительно

AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы
Отметить указанные 4 проблемы и нажать Исправить

Новые логи делать в нормальном режиме

zirreX 25-12-2010 23:01 1574571
В дополнение к скрипту thyrex, выполните такой скрипт.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
 DeleteFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll');
 DelBHO('{539CA3DC-95E8-402f-946D-C7D5584D321A}');
 DelBHO('{1E796980-9CC5-11D1-A83F-00C04FC99D61}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Подготовьте логи AVZ и RSIT из нормального режима.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Установите Service Pack 3 (может потребоваться активация!).

Обновите Internet Explorer до восьмой версии
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

TINA 25-12-2010 23:02 1574572
Долго не понимали почему скрипт не выполняется, писал ошибку.
добавили кавычку в 5 строке (Да?), скрипт выполнился, но компьютер не перезагрузился.
Сейчас Вымогатель не появился, но рабочий стол не загружается.
Сейчас попробуем опять безопасный режим и FVZ

Пошла следующий скрипт выполнять.

zirreX 25-12-2010 23:38 1574593
Цитата:
Цитата TINA
Сейчас Вымогатель не появился, но рабочий стол не загружается. »
Запустите AVZ, меню Файл -- Восстановление системы -- поставьте галочку напротив пункта 16.

Цитата:
Цитата thyrex
Тогда так еще дополнительно
AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы
Отметить указанные 4 проблемы и нажать Исправить
Новые логи делать в нормальном режиме »
Выполнили?

TINA 25-12-2010 23:46 1574600
УРА!!! ЗАРАБОТАЛО!!
Прикрепляю новые логи.
RSIT попозже

TINA 25-12-2010 23:50 1574602
Лог RSIT

TINA 25-12-2010 23:56 1574607
Файл quarantine.zip - отправлен.
жду указаний

zirreX 26-12-2010 00:10 1574616
HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) -  - shell32.dll (file missing)
В последних логах ничего плохого не нашел. :)

Жду логи RSIT и MBAM.


Установите Service Pack 3 и Internet Explorer 8.
Обновите Adobe Acrobat до актуальной версии или деинсталлируйте.

TINA 26-12-2010 00:33 1574621
Пофиксим.
Лог Rsit - выше.
Использует только Firefox, INT 8 вроде не нужен

TINA 26-12-2010 01:18 1574634
Просканировала..
Удалять заражённые файлы?
Страшно

zirreX 26-12-2010 01:36 1574636
В MBAM удалить:

Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{92860A02-4D69-48c1-82D7-EF6B2C609502} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{431D251C-B43A-47d7-B4F4-07A101B432D6} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\BitAccelerator.BitAccelerator.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\BitAccelerator.BitAccelerator (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{C1DE446A-8770-4621-9378-F1922C74A36C} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Value: id -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Value: host -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Value: del -> No action taken.

Заражённые файлы:
c:\documents and settings\_Keks\local settings\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\krnl.exe','');
QuarantineFile('ie.exe','');
QuarantineFile('deskinf.pif','');
QuarantineFile('C:\Recycled\deskinf.pif','');
DeleteFile('C:\Recycled\deskinf.pif');
DeleteFile('deskinf.pif');                               
DeleteFile('ie.exe');
DeleteFile('C:\WINDOWS\krnl.exe');                                 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Подготовьте повторный лог RSIT

Цитата:
Цитата TINA
Использует только Firefox, INT 8 вроде не нужен »
Установите Internet Explorer 8, даже если вы его не используете.

TINA 26-12-2010 11:22 1574726
Всё сделано

thyrex 26-12-2010 14:06 1574779
Цитата:
Цитата TINA
Всё сделано »
А как же это?
Цитата:
Цитата zirreX
Подготовьте повторный лог RSIT »

TINA 26-12-2010 15:19 1574824
Ой, а сын с компьютером уже уехал...
Сейчас буду пытаться его заставить.

TINA 28-12-2010 22:00 1576587
Вложений: 2
  • log.txt (14 bytes, скачиваний: 10)
  • rsit.rar (16.00 KB, скачиваний: 9)
Здравствуйте!
Подсоединяю то, что смог сделать сын.
Если не то , то буду пробовать дальше.

zirreX 28-12-2010 23:41 1576648
В логе ничего плохого.

Adobe Acrobat обновить до актуальной версии или деинсталлировать.

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

Помимо антивируса, проверяйте систему на присутствие вредоносных программ утилитой Dr.Web Cureit

TINA 28-12-2010 23:46 1576653
Огромное спасибо за помощь!
С Новым годом!

zirreX 28-12-2010 23:56 1576658
Всегда рад помочь. :)
С наступающим!


Время: 17:26.

Время: 17:26.
© OSzone.net 2001-