• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена trojan.mbrlock Injector.LHH

Статус
В этой теме нельзя размещать новые ответы.

VitacBlack

Активный пользователь
Сообщения
16
Симпатии
3
#1
Вирус требует деньги в национальной валюте Казахстана.
TDSSKiller удалил 1 файл, FixMBR не помогает, в реестре параметр Shell снова перезаписывается на C:\Documents and Settings\All Users\Application Data\ 22CC6C32.exe.
Файл с расширением .dta и с паролем virus имеется. Прошу помощи в разблокировке.
 

VitacBlack

Активный пользователь
Сообщения
16
Симпатии
3
#4

Вложения

Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#5
Выполните скрипт в uVS:

Код:
;uVS v3.73 script [http://dsrt.dyndns.org]

addsgn 4A7867DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3F94F7CA68C953E5B09391B82CA421F45AB74B7553A310DDA537D0D24FC 8 
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
chklst
delvir
rf %Sys32%\USERINIT.EXE
regt 12
czoo
После выполнения скрипта зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта (например:2011-06-30_22-04-27.7z) если архив отсутствует, то заархивруйте папку ZOO с паролем virus. И отправьте на адрес quarantine<at>safezone.cc(at=@) в заголовке (теме) письма укажите ссылку на тему где вам оказывается помощь.
 

VitacBlack

Активный пользователь
Сообщения
16
Симпатии
3
#6
Severnyj, скрипт не выполняется, сообщает об ошибке или о невозможности выполнения.
Тело вируса 22CC6C32.EXE в запароленном архиве могу выслать отдельно.
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#7
Скрипт проверил, выполняется. Проверьте правильность копирования текста скрипта в буфер обмена. К тому же в вашей сборке LiveCD uvs устарела создайте свою или скачайте нашу сборку

Если не получится выполнить скрипт тогда, меняйте значения параметра Shell снова вручную и заменяйте файл USERINIT.EXE в директории system32 на оригинальный с дистрибутива.

Затем загрузка системы должна пройти без проблем.
 

VitacBlack

Активный пользователь
Сообщения
16
Симпатии
3
#8
Severnyj, всё сделал. Вирус загружается. Файл отправил на указанный адрес с указанным паролем.
 

VitacBlack

Активный пользователь
Сообщения
16
Симпатии
3
#10
Не понял что сделали и какой результат
Загрузился с Live CD и
1. Удалил файл из "C:\Documents and Settings\All Users\Application Data"
2. Исправил реестр.
3. Запустил "TDSSKiller"
4. Заменил "USERINIT.EXE"
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#11
Блокировщик все равно активен?
 

VitacBlack

Активный пользователь
Сообщения
16
Симпатии
3
#12
Да активен. Не могу отправить файл на указанный адрес. Может отправить в личку?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#13
Выклыдывайте на файлообменник, ссылку в личку.

Все-таки попытайтесь скачать наш LiveCD и сделать логи uVS из-под него, поскольку на Вашем uVS аж 3.46 версии - может не поддерживать команды скриптов из новых версий.

SafeZone Live CD
Как сделать загрузочную флешку
WinPE UVS на форуме ESET (мини-сборка)
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#15
Вопросы тогда
Из-под нашего скрипт все равно не выполнялся?
Как выполняете скрипт? Нужно скопировать текст скрипта затем в uvs, запущенной с выбором системы, например C:\Windows Выберите меню "Скрипт" => Выполнить скрипт находящийся в буфере обмена..."

Cделайте новые логи uVS с нашего или ESETовского Live
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#17
Сейчас погляжу

Добавлено через 11 минут 0 секунд
Выполните скрипт в uVS

Код:
;uVS v3.73 script [http://dsrt.dyndns.org]

; C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
addsgn 4A7867DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3F94F7CA68C953E5B09391B82CA421F45AB74B7553A310DDA537D0D24FC 8 

; C:\WINDOWS\SYSTEM32\TASKMGR.EXE
rf %Sys32%\USERINIT.EXE
chklst
delvir
rf %Sys32%\TASKMGR.EXE
czoo
regt 1
regt 2
regt 5
regt 12
regt 23
deltmp
delnfr
 

iskander-k

Ассоциация VN/VIP
VIP
Сообщения
3,733
Симпатии
2,432
#19
Этих вирусов не видно. А что с проблемой ?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу