Мне принесли нетбук, заражённый Winlock’ом. После загрузки Windows на рабочем столе появлялся чёрный экран со следующей надписью:
«Ваша операционная система заблокирована за нарушение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Хранение видеофайлов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранения возможности распространения данных материалов с Вашего ПК в сети Интернет.
Для разблокировки операционной системы Вам необходимо:
Пополнить счёт абонента БИЛАЙН № 89035705919 на сумму 360 рублей. После оплаты на выданном терминалом чеке оплаты, Вы найдёте код, который необходимо внести в поле, расположенное ниже.
По завершению оплаты, на выданном чеке оплаты Вам будет выдан код разблокировки который необходимо ввести в форму расположенную ниже. После разблокировки системы Вам необходимо удалить все незаконно размещённые материалы на Вашем ПК.
В случае отказа от оплаты, все данные на Вашем ПК, включая bios, Windows будут безвозвратно уничтожены в связи с угрозой Вашего ПК пользователям сети Интернет».
Причём этот экран появлялся под всеми учётными записями, а всего на нетбуке их пять, и все с правами администратора. Учётная запись гостя отключена. При попытке загрузиться в безопасном режиме, машина уходила в перезагрузку, даже не доходя до экрана приветствия. В моей практике я сталкивался с Winlock’ом, но он был только под одной из учётных записей, и, зайдя из-под другой, и запустив CureIt, я от него избавился.
Первое, что я предпринял, это скачал Dr. Web LiveCD, а так как это нетбук, и привода CDROM в нём нет, я на своём компьютере попытался сделать загрузочный USB-флэшнакопитель, но он у меня не получился. Вроде бы компьютер написал, что флэшка готова, но после того, как я вставил её в нетбук, он написал мне, что операционная система не найдена («Operating system not found»).
Далее я посетил сайт лаборатории Касперского и введя там номер телефона из вышеуказанного текста, я получил целый список кодов для разблокирования операционной системы. Подошёл первый же код из списка (+9999999), после чего была проведена полная проверка компьютера утилитой CureIt в обычном режиме работы компьютера. Во время быстрой проверки по умолчанию, утилита поймала Trojan.Siggen1.34639 во временном файле с расширением *.tmp. Так же во время полной проверки утилита выловила срипт Store.Global[1].js, и в статусе написала, что это «возможно SCRIPT.Virus» (архив с отчётом прилагается). Ещё в процессе проверки она выдала информацию о модифицированном файле HOSTS, и предложила восстановить этот файл в исходное состояние, что я и сделал. Кстати после закрытия CureIt, появилось окно с завершением работы зависшей программы ccSvcHst. Проверка компьютера была проведена только из-под одной из учётных записей, но так как они все с правами администратора, я решил, что этого будет достаточно.
Я хотел после этого проверить систему утилитой CureIt в безопасном режиме, но, как выяснилось, в нём машина по-прежнему уходит в перезагрузку. Правда, после проверки утилитой CureIt на долю секунды стал виден синий экран (до проверки компьютера на вирусы его видно не было). Что на нём написано, я, конечно же, прочитать не успеваю, но я заметил, что на нём почему-то только два абзаца текста, расположенных в верхней части экрана, а не на весь экран, как обычно, и нет никаких описаний ошибки и её восьмеричных кодов. Программа BlueScreenView дампов памяти не обнаруживает. В обычном же режиме машина грузится нормально под всеми пятью учётными записями.
И вот ещё что. В «Настройке системы» есть несколько неизвестных мне файлов. Первой идёт пустая строка, где указано только расположение команды в системном реестре: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Далее идут команды PLFSetL (расположение C:\Windows\PLFSetL.exe), snuvcdsm (расположение C:\Windows\snuvcdsm.exe) и csnp2uvc (rundll.exe C:\Windows\system32\csnp2uvc.dll ResetCIDS). Расположение всех четырёх команд в системном реестре одинаковое. Если хотите, могу заархивировать эти файлы, и выслать их для анализа, только подскажите, как это сделать наиболее безопасно.
Можно ли как-нибудь вернуть полную работоспособность машины?
Нетбук Acer eMachines eM250, номер модели KAV60. Операционная система Windows XP Home Edition SP3. Обновление операционной системы работает в автоматическом режиме. На нетбуке стоит просроченный Norton Internet Security, версия 16.8.0.41 (пробная 60-дневная версия, на которую не продлена подписка, как я понял).
Если нужна ещё какая-нибудь информация, пишите.
«Ваша операционная система заблокирована за нарушение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Хранение видеофайлов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранения возможности распространения данных материалов с Вашего ПК в сети Интернет.
Для разблокировки операционной системы Вам необходимо:
Пополнить счёт абонента БИЛАЙН № 89035705919 на сумму 360 рублей. После оплаты на выданном терминалом чеке оплаты, Вы найдёте код, который необходимо внести в поле, расположенное ниже.
По завершению оплаты, на выданном чеке оплаты Вам будет выдан код разблокировки который необходимо ввести в форму расположенную ниже. После разблокировки системы Вам необходимо удалить все незаконно размещённые материалы на Вашем ПК.
В случае отказа от оплаты, все данные на Вашем ПК, включая bios, Windows будут безвозвратно уничтожены в связи с угрозой Вашего ПК пользователям сети Интернет».
Причём этот экран появлялся под всеми учётными записями, а всего на нетбуке их пять, и все с правами администратора. Учётная запись гостя отключена. При попытке загрузиться в безопасном режиме, машина уходила в перезагрузку, даже не доходя до экрана приветствия. В моей практике я сталкивался с Winlock’ом, но он был только под одной из учётных записей, и, зайдя из-под другой, и запустив CureIt, я от него избавился.
Первое, что я предпринял, это скачал Dr. Web LiveCD, а так как это нетбук, и привода CDROM в нём нет, я на своём компьютере попытался сделать загрузочный USB-флэшнакопитель, но он у меня не получился. Вроде бы компьютер написал, что флэшка готова, но после того, как я вставил её в нетбук, он написал мне, что операционная система не найдена («Operating system not found»).
Далее я посетил сайт лаборатории Касперского и введя там номер телефона из вышеуказанного текста, я получил целый список кодов для разблокирования операционной системы. Подошёл первый же код из списка (+9999999), после чего была проведена полная проверка компьютера утилитой CureIt в обычном режиме работы компьютера. Во время быстрой проверки по умолчанию, утилита поймала Trojan.Siggen1.34639 во временном файле с расширением *.tmp. Так же во время полной проверки утилита выловила срипт Store.Global[1].js, и в статусе написала, что это «возможно SCRIPT.Virus» (архив с отчётом прилагается). Ещё в процессе проверки она выдала информацию о модифицированном файле HOSTS, и предложила восстановить этот файл в исходное состояние, что я и сделал. Кстати после закрытия CureIt, появилось окно с завершением работы зависшей программы ccSvcHst. Проверка компьютера была проведена только из-под одной из учётных записей, но так как они все с правами администратора, я решил, что этого будет достаточно.
Я хотел после этого проверить систему утилитой CureIt в безопасном режиме, но, как выяснилось, в нём машина по-прежнему уходит в перезагрузку. Правда, после проверки утилитой CureIt на долю секунды стал виден синий экран (до проверки компьютера на вирусы его видно не было). Что на нём написано, я, конечно же, прочитать не успеваю, но я заметил, что на нём почему-то только два абзаца текста, расположенных в верхней части экрана, а не на весь экран, как обычно, и нет никаких описаний ошибки и её восьмеричных кодов. Программа BlueScreenView дампов памяти не обнаруживает. В обычном же режиме машина грузится нормально под всеми пятью учётными записями.
И вот ещё что. В «Настройке системы» есть несколько неизвестных мне файлов. Первой идёт пустая строка, где указано только расположение команды в системном реестре: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Далее идут команды PLFSetL (расположение C:\Windows\PLFSetL.exe), snuvcdsm (расположение C:\Windows\snuvcdsm.exe) и csnp2uvc (rundll.exe C:\Windows\system32\csnp2uvc.dll ResetCIDS). Расположение всех четырёх команд в системном реестре одинаковое. Если хотите, могу заархивировать эти файлы, и выслать их для анализа, только подскажите, как это сделать наиболее безопасно.
Можно ли как-нибудь вернуть полную работоспособность машины?
Нетбук Acer eMachines eM250, номер модели KAV60. Операционная система Windows XP Home Edition SP3. Обновление операционной системы работает в автоматическом режиме. На нетбуке стоит просроченный Norton Internet Security, версия 16.8.0.41 (пробная 60-дневная версия, на которую не продлена подписка, как я понял).
Если нужна ещё какая-нибудь информация, пишите.
Последнее редактирование:
