Решена Winlock на нетбуке.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Albert, 29 авг 2010.

Статус темы:
Закрыта.
  1. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Мне принесли нетбук, заражённый Winlock’ом. После загрузки Windows на рабочем столе появлялся чёрный экран со следующей надписью:
    «Ваша операционная система заблокирована за нарушение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Хранение видеофайлов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранения возможности распространения данных материалов с Вашего ПК в сети Интернет.
    Для разблокировки операционной системы Вам необходимо:
    Пополнить счёт абонента БИЛАЙН № 89035705919 на сумму 360 рублей. После оплаты на выданном терминалом чеке оплаты, Вы найдёте код, который необходимо внести в поле, расположенное ниже.
    По завершению оплаты, на выданном чеке оплаты Вам будет выдан код разблокировки который необходимо ввести в форму расположенную ниже. После разблокировки системы Вам необходимо удалить все незаконно размещённые материалы на Вашем ПК.
    В случае отказа от оплаты, все данные на Вашем ПК, включая bios, Windows будут безвозвратно уничтожены в связи с угрозой Вашего ПК пользователям сети Интернет».
    Причём этот экран появлялся под всеми учётными записями, а всего на нетбуке их пять, и все с правами администратора. Учётная запись гостя отключена. При попытке загрузиться в безопасном режиме, машина уходила в перезагрузку, даже не доходя до экрана приветствия. В моей практике я сталкивался с Winlock’ом, но он был только под одной из учётных записей, и, зайдя из-под другой, и запустив CureIt, я от него избавился.
    Первое, что я предпринял, это скачал Dr. Web LiveCD, а так как это нетбук, и привода CDROM в нём нет, я на своём компьютере попытался сделать загрузочный USB-флэшнакопитель, но он у меня не получился. Вроде бы компьютер написал, что флэшка готова, но после того, как я вставил её в нетбук, он написал мне, что операционная система не найдена («Operating system not found»).
    Далее я посетил сайт лаборатории Касперского и введя там номер телефона из вышеуказанного текста, я получил целый список кодов для разблокирования операционной системы. Подошёл первый же код из списка (+9999999), после чего была проведена полная проверка компьютера утилитой CureIt в обычном режиме работы компьютера. Во время быстрой проверки по умолчанию, утилита поймала Trojan.Siggen1.34639 во временном файле с расширением *.tmp. Так же во время полной проверки утилита выловила срипт Store.Global[1].js, и в статусе написала, что это «возможно SCRIPT.Virus» (архив с отчётом прилагается). Ещё в процессе проверки она выдала информацию о модифицированном файле HOSTS, и предложила восстановить этот файл в исходное состояние, что я и сделал. Кстати после закрытия CureIt, появилось окно с завершением работы зависшей программы ccSvcHst. Проверка компьютера была проведена только из-под одной из учётных записей, но так как они все с правами администратора, я решил, что этого будет достаточно.
    Я хотел после этого проверить систему утилитой CureIt в безопасном режиме, но, как выяснилось, в нём машина по-прежнему уходит в перезагрузку. Правда, после проверки утилитой CureIt на долю секунды стал виден синий экран (до проверки компьютера на вирусы его видно не было). Что на нём написано, я, конечно же, прочитать не успеваю, но я заметил, что на нём почему-то только два абзаца текста, расположенных в верхней части экрана, а не на весь экран, как обычно, и нет никаких описаний ошибки и её восьмеричных кодов. Программа BlueScreenView дампов памяти не обнаруживает. В обычном же режиме машина грузится нормально под всеми пятью учётными записями.
    И вот ещё что. В «Настройке системы» есть несколько неизвестных мне файлов. Первой идёт пустая строка, где указано только расположение команды в системном реестре: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Далее идут команды PLFSetL (расположение C:\Windows\PLFSetL.exe), snuvcdsm (расположение C:\Windows\snuvcdsm.exe) и csnp2uvc (rundll.exe C:\Windows\system32\csnp2uvc.dll ResetCIDS). Расположение всех четырёх команд в системном реестре одинаковое. Если хотите, могу заархивировать эти файлы, и выслать их для анализа, только подскажите, как это сделать наиболее безопасно.
    Можно ли как-нибудь вернуть полную работоспособность машины?
    Нетбук Acer eMachines eM250, номер модели KAV60. Операционная система Windows XP Home Edition SP3. Обновление операционной системы работает в автоматическом режиме. На нетбуке стоит просроченный Norton Internet Security, версия 16.8.0.41 (пробная 60-дневная версия, на которую не продлена подписка, как я понял).
    Если нужна ещё какая-нибудь информация, пишите.
     

    Вложения:

    Последнее редактирование: 29 авг 2010
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files

    :Reg
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"="C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
    "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"="C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
    "C:\Program Files\Samsung Electronics\mWiMAX U200\YotaAccess.exe"="C:\Program Files\Samsung Electronics\mWiMAX U200\YotaAccess.exe:*:Enabled:Yota Access"
    "C:\Program Files\Symantec\Norton Online Backup\NOBuClient.exe"="C:\Program Files\Symantec\Norton Online Backup\NOBuClient.exe:*:Disabled:Norton Online Backup Service"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"="C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
    ""=""
    "C:\Program Files\Samsung Electronics\mWiMAX U200\YotaAccess.exe"="C:\Program Files\Samsung Electronics\mWiMAX U200\YotaAccess.exe:*:Enabled:Yota Access"
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
  3. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Я сделал всё так, как Вы написали, правда, второпях запустил программу с флэшки, на которой переносил программу, соответственно и лог был создан на ней. После того, как программа выполнила написанные Вами инструкции и попросила перезагрузиться, нетбук завис. Я ждал очень долго. Но так как она написала, что отчёт создан, я решил выключить компьютер кнопкой включения.
     

    Вложения:

  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Повторите лог RSIT. И есть ли еще проблемы с компьютером?
     
  5. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Да, есть. Машина по-прежнему не грузится в безопасном режиме.
    Удалось мне выловить BSOD. Stop 0x0000007B (0xF7B00524, 0xC0000034, 0x00000000, 0x00000000). Компьютер рекомендует проверить систему на вирусы, поверить диск командой CHKDSK /f и что-то ещё, я в английском не очень силён. Могу привести текст полностью, если необходимо. Диск я проверил, ошибок не найдено.
    Вот отчёты RSIT.
     

    Вложения:

    • log.txt
      Размер файла:
      18,3 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      26,9 КБ
      Просмотров:
      0
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ExecuteRepair(10);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
     
  7. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Выполнил я скрипт, но машина при попытке загрузиться в безопасном режиме вновь вывалилась в BSOD, но теперь уже с другой ошибкой:
    0x0000007E (0xC0000005, 0xF7816211, 0xF7B3C720, 0xF7B3C41C),
    а это уже проблема с драйверами или оборудованием. В «Диспетчере устройств» всё нормально, никаких жёлтых или красных восклицательных знаков нет. Вы можете ещё что-то посоветовать?
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
Статус темы:
Закрыта.

Поделиться этой страницей