Trojan-Ransom.Win32.PornoAsset.ccj

[sandkey]

Здравствуйте. Не подскажете как разблокировать? Или полностью проверять Kaspersky WindowsUnlocker? Комп древний, один диск С, очень долго проверятся будет. Возможность зайти с PE есть.

[Roman_Five]

Или полностью проверять Kaspersky WindowsUnlocker?

...

Возможность зайти с PE есть.

 

2 варианта:

1) Unlocker - http://support.kaspersky.ru/viruses/solutions?qid=208641245

2) "ручками"

 

1. попробовать загрузиться в безопасном режиме с поддержкой командной строки, через которую загрузить редактор реестра и исправить реестр

http://forum.kaspersky.com/index.php?showt...t&p=1559101

 

2. загрузиться с любого лайвсиди с возможностью редактирования реестра и исправить реестр

Скачайте образ ERD Commander

запишите на диск

установите в BIOS загрузку с CD

загрузитесь

пуск|start - выполнить|run - erdregedit

в подгруженном реестре с Вашего компьютера поищите в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

этот параметр

AppInit_DLLs

в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

этот параметр

userinit

и этот

shell

Приложите результат в новом сообщении (сами файлы не удаляйте!).

Изменено 29 ноября, 2011 пользователем Roman_Five

[sandkey]

 

Уже ушел от компа, завтра продолжу, и если получится выложу логи. Все данные Вами ветки реестра исправлял, 22СС6С32 удалил, userinit с систем32, и дллкеш восстанавливал (заражены), tackmgr, explorer нормальный, темпы чистил. Что то там новенькое придумали(((. В обычном режиме банер сразу появляется, а после восстановлении безопасного режима, в безопаске грузится нормально, експлорером запускается. Но только если нажал ctrl-alt-del сразу же банер выскакивает, и затем на самом банере меняются номера телефонов для отправки см.

[Roman_Five]

тогда, чтобы не терять время, используйте первый вариант

[thyrex]

Сомнительно, что придумано что-то новое

 

Но только если нажал ctrl-alt-del

Значит taskmgr.exe заражен

 

1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с системы, аналогичной заблокированной)

2. Загрузиться с Live CD

3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache)

4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32

5. Исправляете параметры: shell, где должно быть указано explorer.exe и userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (включая запятую!).

 

Пробуете стартовать в проблемной системе

[sandkey]

AVPTool на половине проверки уходит в бсод, при этом попутно выбив кучу вирей. Выполнил рекомендации вручную.

 

system32\dllcache\taskmgr.exe

заражен.

 

Блокировщик пропал, но там ужс с системой.

AVZ 4.37 с обновленными базами не может создать virusinfo_syscure.zip, ругается но флоппи диск.

Поэтому выкладываю что имеется

 

Логи:

virusinfo_syscheck.zip

hijackthis.log

[Tiare]

sandkey,

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system\fun.exe','');
QuarantineFile('C:\WINDOWS\system32\winsit.exe','');
DeleteFile('C:\WINDOWS\system32\winsit.exe');
DeleteFile('C:\WINDOWS\system\fun.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки.

O4 - Global Startup: AutorunsDisabled

 

 

Повторите логи AVZ, сделайте лог RSIT (см. правила оформления запроса)

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация)

 

 

Отчет о работе AVPTool не сохранился?

[sandkey]

Логи:

virusinfo_syscheck.zip

rsit.zip

mbam завтра.

Отчет о работе AVPTool не сохранился?

К сожалению нет.

Изменено 30 ноября, 2011 пользователем sandkey

[Tiare]

mbam завтра.

ок

 

Лог RSIT переделайте, выберите проверку файлов за 3 месяца.

 

 

AVZ 4.37 с обновленными базами не может создать virusinfo_syscure.zip, ругается но флоппи диск.

скриншот покажите

 

 

D:\

E:\

что это (съемные носители, логические (физические) диски)?

Изменено 30 ноября, 2011 пользователем Tiare