Решена trojan.mbrlock Injector.LHH

Тема в разделе "Лечение компьютерных вирусов", создана пользователем VitacBlack, 8 дек 2011.

Статус темы:
Закрыта.
  1. VitacBlack
    Оффлайн

    VitacBlack Активный пользователь

    Сообщения:
    16
    Симпатии:
    6
    Вирус требует деньги в национальной валюте Казахстана.
    TDSSKiller удалил 1 файл, FixMBR не помогает, в реестре параметр Shell снова перезаписывается на C:\Documents and Settings\All Users\Application Data\ 22CC6C32.exe.
    Файл с расширением .dta и с паролем virus имеется. Прошу помощи в разблокировке.
     
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
  3. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Отошлите через веб-форму.
     
  4. VitacBlack
    Оффлайн

    VitacBlack Активный пользователь

    Сообщения:
    16
    Симпатии:
    6
    Файлы прикрепляю

    Происходит ошибка.
     

    Вложения:

    • 08122011-224727.rar
      Размер файла:
      32,1 КБ
      Просмотров:
      8
    • uvs.zip
      Размер файла:
      181,2 КБ
      Просмотров:
      3
    Последнее редактирование: 8 дек 2011
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Выполните скрипт в uVS:

    Код (Text):
    ;uVS v3.73 script [http://dsrt.dyndns.org]

    addsgn 4A7867DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3F94F7CA68C953E5B09391B82CA421F45AB74B7553A310DDA537D0D24FC 8
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
    chklst
    delvir
    rf %Sys32%\USERINIT.EXE
    regt 12
    czoo
    После выполнения скрипта зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта (например:2011-06-30_22-04-27.7z) если архив отсутствует, то заархивруйте папку ZOO с паролем virus. И отправьте на адрес quarantine<at>safezone.cc(at=@) в заголовке (теме) письма укажите ссылку на тему где вам оказывается помощь.
     
  6. VitacBlack
    Оффлайн

    VitacBlack Активный пользователь

    Сообщения:
    16
    Симпатии:
    6
    Severnyj, скрипт не выполняется, сообщает об ошибке или о невозможности выполнения.
    Тело вируса 22CC6C32.EXE в запароленном архиве могу выслать отдельно.
     
    Последнее редактирование: 11 дек 2011
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Скрипт проверил, выполняется. Проверьте правильность копирования текста скрипта в буфер обмена. К тому же в вашей сборке LiveCD uvs устарела создайте свою или скачайте нашу сборку

    Если не получится выполнить скрипт тогда, меняйте значения параметра Shell снова вручную и заменяйте файл USERINIT.EXE в директории system32 на оригинальный с дистрибутива.

    Затем загрузка системы должна пройти без проблем.
     
  8. VitacBlack
    Оффлайн

    VitacBlack Активный пользователь

    Сообщения:
    16
    Симпатии:
    6
    Severnyj, всё сделал. Вирус загружается. Файл отправил на указанный адрес с указанным паролем.
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Не понял что сделали и какой результат
     
  10. VitacBlack
    Оффлайн

    VitacBlack Активный пользователь

    Сообщения:
    16
    Симпатии:
    6
    Загрузился с Live CD и
    1. Удалил файл из "C:\Documents and Settings\All Users\Application Data"
    2. Исправил реестр.
    3. Запустил "TDSSKiller"
    4. Заменил "USERINIT.EXE"
     
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Блокировщик все равно активен?
     
  12. VitacBlack
    Оффлайн

    VitacBlack Активный пользователь

    Сообщения:
    16
    Симпатии:
    6
    Да активен. Не могу отправить файл на указанный адрес. Может отправить в личку?
     
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Выклыдывайте на файлообменник, ссылку в личку.

    Все-таки попытайтесь скачать наш LiveCD и сделать логи uVS из-под него, поскольку на Вашем uVS аж 3.46 версии - может не поддерживать команды скриптов из новых версий.

    SafeZone Live CD
    Как сделать загрузочную флешку
    WinPE UVS на форуме ESET (мини-сборка)
     
  14. VitacBlack
    Оффлайн

    VitacBlack Активный пользователь

    Сообщения:
    16
    Симпатии:
    6
    Пробовал и из под него.
    Файл в файлообменнике. Ссылка на файлообменник отослана в личку.
     
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Вопросы тогда
    Из-под нашего скрипт все равно не выполнялся?
    Как выполняете скрипт? Нужно скопировать текст скрипта затем в uvs, запущенной с выбором системы, например C:\Windows Выберите меню "Скрипт" => Выполнить скрипт находящийся в буфере обмена..."

    Cделайте новые логи uVS с нашего или ESETовского Live
     
  16. VitacBlack
    Оффлайн

    VitacBlack Активный пользователь

    Сообщения:
    16
    Симпатии:
    6
    Приклепляю новый лог сделанный на uVS скачанного с форума.
     

    Вложения:

    • uvs.7z
      Размер файла:
      111,3 КБ
      Просмотров:
      5
  17. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Сейчас погляжу

    Добавлено через 11 минут 0 секунд
    Выполните скрипт в uVS

    Код (Text):
    ;uVS v3.73 script [http://dsrt.dyndns.org]

    ; C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
    addsgn 4A7867DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3F94F7CA68C953E5B09391B82CA421F45AB74B7553A310DDA537D0D24FC 8

    ; C:\WINDOWS\SYSTEM32\TASKMGR.EXE
    rf %Sys32%\USERINIT.EXE
    chklst
    delvir
    rf %Sys32%\TASKMGR.EXE
    czoo
    regt 1
    regt 2
    regt 5
    regt 12
    regt 23
    deltmp
    delnfr
     
  18. VitacBlack
    Оффлайн

    VitacBlack Активный пользователь

    Сообщения:
    16
    Симпатии:
    6
    Новый лог
     

    Вложения:

  19. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.731
    Симпатии:
    3.260
    Этих вирусов не видно. А что с проблемой ?
     
  20. VitacBlack
    Оффлайн

    VitacBlack Активный пользователь

    Сообщения:
    16
    Симпатии:
    6
    Операционная система загрузилась без вируса.
    Приклепляю логи.
     

    Вложения:

    • log.txt
      Размер файла:
      14,3 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      9,6 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      17,2 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      15,5 КБ
      Просмотров:
      0
Статус темы:
Закрыта.

Поделиться этой страницей