Дело было так. Зашел позырить порнушку!.. И тут мой монитор несколько раз заморгал, снизу от Dr. Web, с последними обновлениями, вышло сообщение о двух блокировках с какого-то IP. Далее вышло окно с просьбой проспонсировать предложенный номер на n-ую сумму. Само собой ничего не работает... История судя по отголоскам интернета вполне обыденная. Ввожу высмотренный мной код. Появился рабочий стол... Запускаю полную проверку своего "любимого" Dr. Web. В течение 8 часов кропотливой работы отыскал какие-то два инфицированных файла, один из которых находился в его карантине. Удалил. Результатов ноль. Диспетчер задач по прежнему не работает, реестр заблокирован... Через групповую политику решаю эту проблему. Далее наблюдаю, что на рабочем столе ни одной иконки... Правая кнопка мыши не работает при попытке щелкнуть на пространство рабочего стола. Пытаюсь зайти в панель управления или восстановить систему выводит сакральное: Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети. Пытался зайти через безопасный режим. Там такая же история. Порывшись в паутине интернета, попробовав сделать предложенное и окончательно отчаявшись, начал курить ваш форум. Прикрепляю необходимые вам, а наверно больше мне, файлы и прошу помочь, о всевластные вирусологи-инфекционисты!

Доброго дня, похвальная честность=) Логи посмотрю, отвечу в течении часа

Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)

Проверьте сами на http://www.virustotal.com файл

C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe

ссылку на результат запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Onun\ubso.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe','');
QuarantineFile('C:\WINDOWS\arakrnl.exe','');
DeleteFile('C:\WINDOWS\arakrnl.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Onun\ubso.exe');
DelCLSID('{8BED665B-A34D-EA77-DF7C-D36926959B75}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{8BED665B-A34D-EA77-DF7C-D36926959B75}');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Onun', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Onun');
BC_ImportAll;
DelAutorunByFileName('ubso.exe');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(8);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
O4 - HKCU\..\Run: [{8BED665B-A34D-EA77-DF7C-D36926959B75}] "C:\Documents and Settings\Admin\Application Data\Onun\ubso.exe"

Сделайте повторные логи AVZ + RSIR

Если у вас 32 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то скачайте Random's System Information Tool (RSIT) (http://www.virusnet.info/random/RSIT.exe) или с зеркала (http://images.malwareremoval.com/random/RSIT.exe)
Если у вас 64 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 (http://www.virusnet.info/random/RSITx64.exe) или с зеркала (http://images.malwareremoval.com/random/RSITx64.exe)
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Скрипт подправила,будьте внимательней
И раз уж вас посетил WinLock, настоятельно рекомендую сменить важные пароли.
Жду новые логи

Итак, доклады и выводы:

1. IE8 установил. Я правильно понимаю, что безопаснее и грамотнее пользоваться именно этим браузером?

2. Два файла по предложенному адресу проверил (хотя сейчас смотрю предыдуший пост... уже один, на всякий случай даю 2), ссылки:

ubso.exe (http://www.virustotal.com/file-scan/report.html?id=fa05c5c4be988dc46853c89660e6bbba7cd11d45ccea284e7e9e7670228413df-1295014444)

eBayShortcuts.exe (http://www.virustotal.com/file-scan/report.html?id=56fa8a993d664a9b8227ecdf4ab02579cb03f525652bbc10da23d42265eefcce-1295014686)

3. Применил предложенный скрипт и после перезагрузки все пришло на круги своя... Появился рабочий стол, правая кнопка мыши защелкала с прежним задором и панель управления твердо заняла положенное место!

4. Отправил в лабараторию касперского данный архив и вот что мне этот мужик пишет:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

arakrnl.exe - Trojan-Ransom.Win32.PornoBlocker.djd

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.
Для разблокировки данной троянской программы Вы можете воспользоваться нашим сервисом:
http://support.kaspersky.ru/viruses/deblocker
http://support.kaspersky.ru/sms - с мобильных телефонов и коммуникаторов.

bcqr00003.dat,
bcqr00004.dat,
eBayShortcuts.exe

Вредоносный код в файлах не обнаружен.

ubso.exe

Файл в процессе обработки.

С уважением, Лаборатория Касперского

Пишет что вредоносный код в файле eBayShortcuts.exe не обнаружен хотя 25/43 антивирусных программ VirusTotal утверждают обратное...

5. Пофиксить в HijackThis у меня не получилось, так как при повторном skan такой надписи как я не пытался, а найти не смог.

6. Прошу поправить меня, если я где-то ошибся! И... Последние вопросы: Сейчас мой компьютер здоров?! Как мне впредь уберечь свой комп от подобного рода атак? Где я могу найти инфу по созданию скриптов и анализу файлов, получаемых вследствии запуска программ AVZ, HijackThis и RSIT?

Прикрепляю повторные логи:

Я правильно понимаю, что безопаснее и грамотнее пользоваться именно этим браузером? »
нет!
Рекомендуется для предотвращения заражения:
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)

Пишет что вредоносный код в файле eBayShortcuts.exe не обнаружен хотя 25/43 антивирусных программ VirusTotal утверждают обратное... »
скорее всего, установился с какой нибудь программой, если настаиваете-удалим

проверю логи

- не использовать Internet Explorer »
обоснуйте

Важные пароли поменял... Скрипт я применил Ваш предыдущий и последние логи на основании примененного скрипта!

Я удивлен, что девушка осведомлена в таких сложных штуках как, скрипт, WinLock и т.д.!:) Мое почтение, уважение и благодарности Вам, как хрупкой девушке созидающей даже в такой, казалось бы мужской сфере информационных технологий!;)

обоснуйте »
слишком много уязвимостей, глубоко интегрирована в ось (имхо рекомендуем)

В логах чисто.

Для контроля
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Обновите Java до последней актуальной версии. Устаревшие версии несут в себе уязвимости, которые могут стать причиной заражения.
Для обновления Java Скачайте JavaRA здесь (http://sourceforge.net/projects/javara/files/javara/JavaRa/JavaRa.zip/download)
Распакуйте, запустите, выберите "Remove Older Versions".
Подтвердите свое желание удалить старую версию Java нажав "ДА".
Закройте IE, если Вы его еще не закрыли и нажмите "OK".
После поиска и удаления Java машины программа создаст лог с отчетом.
Далее нажмите "Search For Updates"
Выберите "Update Using Sun Java's Website" и "Open Webpage"
Осталось только скачать и установить Java.
Или воспользоваться альтернативным вариантом - после удаления старой версии скачайте и установите последнюю версию с сайта производителя.
Java Runtime Environment (JRE) (http://www.oracle.com/technetwork/java/javase/downloads/index.html)
Установить все возможные обновления продуктов Adobe (http://www.adobe.com/ru/), которые установлены на вашем компьютере или удалите их.

Далее
Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

ну и на последок...

что из этого вам нужно?

Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)


Закроем уязвимости,дам вам скрипт

и все таки удалим, ибо не внушает доверия
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe');
BC_ImportAll;
DelAutorunByFileName('eBayShortcuts.exe');
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe');
BC_Activate;
RebootWindows(true);
end.

компьютер перезагрузится

Где я могу найти инфу по созданию скриптов и анализу файлов, получаемых вследствии запуска программ AVZ, HijackThis и RSIT? »
приходите учиться ) http://forum.oszone.net/announcement-87-182.html на VirusNet