[решено] SMS-вымогатель по активации Windows (ничего не помогает)

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

SMS-вымогатель по активации Windows (ничего не помогает)

У друга известная проблема, вирус не дает зайти в операционную систему, требуя отправить SMS на короткий номер. Дело в том, что буквально вчера я скачал DrWeb LiveCD с официального сайта и полностью проверил все диски на его компе. Были найдены несколько файлов, содержащих вредоносный код, которые мы удалили (среди них помню такие, как riodrv.exe, twex.exe). Но окно SMS-вымогателя так и осталось.

Больше всего меня удивляет то, что даже при ПОЛНОЙ проверке с ПОСЛЕДНИМИ базами из ЧИСТОЙ (LiveCD) среды и последующем удалении вредоносного ПО, вирус остается в системе. Как такое возможно?

Также хочу отметить отличие этого вируса от всех подобных тем, что этот позволяет войти в безопасный режим. Его цветовое оформление очень схоже с этим — http://forum.oszone.net/attachment.p...5&d=1244365863. Отличие в том, что в моем экран черный, а текст — красный.

Чуть позже я зашел в реестр его винды из безопасного режима. В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в параметре Userinit после userinit.exe стояло следующее: C:\WINDOWS\system32\sdra64.exe. И этот файл действительно лежал по указанному пути, антивирус прошел мимо него. Переименовать мне его не удалось («Файл используется другим приложением»). Удалил соответсвующую лишнюю запись, оставив только userinit.exe. Загрузившись с виндовского LiveCD, я переименовал сам файл в sdra64.exe.bak. Но проблема так и осталась…

Сегодня, при разговоре с ним, я попросил его проверить параметр Shell. Там все в порядке: explorer.exe. Далее, я сказал ему попробовать выставить полный путь к файлу userinit.exe — C:\WINDOWS\system32\userinit.exe, (с запятой на конце). В итоге Windows приобрела странное поведение — из его колонок до моего телефона доносились периодически повторяющиеся звуки загрузки и завершения Windows. По его словам, Windows пыталась завершить работу, а потом снова загрузиться, потом снова завершить и так бесконечно большой период времени. Попытка войти в безопасный режим после данных манипуляций окончилась провалом…

Помогите нам, пожалуйста, уважаемые люди, проблема стоит очень остро для моего друга. Прошу большое прощение за отсутствие каких-либо логов, друг живет на другом конце города, а у меня в данный период времени весьма и весьма мало… Не удаляйте эту тему, вы — наша последняя надежда на спасение. Операционная система: Windows XP SP3 (лицензия).

HatoL, а вот этим не пробовали пользоваться?http://news.drweb.com/show/?i=304&c=5&p=0

Не пробовали… Теперь надо как-то привести систему в действо, ибо даже в безопасный не получается зайти. Как можно отредактировать реестр убитой винды? На виндовском LiveCD пробовал заходить в regedit — открывается реестр этой, загруженной с диска в память системы.

HatoL, Попробуйте через ERD Commander. Там нужно выбрать директорию, где находится папка Windows именно вашей системы. После этого сможете редактировать реестр. ERD->Start->Administrative Tools->Registry Editor. Удачи!

HatoL, Вообщето нужны логи.
Без логов советую: попробуйте методом залипания клавиш добраться до проводника и запустить AVZ
http://virusnet.info/forum/showthread.php?t=1231
http://stopvirus.ru/winlock/
Удачи.

Цитата:

Цитата HatoL

В итоге Windows приобрела странное поведение — из его колонок до моего телефона доносились периодически повторяющиеся звуки загрузки и завершения Windows. По его словам, Windows пыталась завершить работу, а потом снова загрузиться, потом снова завершить и так бесконечно большой период времени. Попытка войти в безопасный режим после данных манипуляций окончилась провалом… »

С параметром Userinit напортачили, попробуйте без пути написать...
Поищите в system32 файл userinit.exe, если его нет, то скопируйте с другого ПК.
Как восстановите ПК, делайте логи.

А если есть, то необходимо править реестр.

Цитата:

Цитата HatoL

Больше всего меня удивляет то, что даже при ПОЛНОЙ проверке с ПОСЛЕДНИМИ базами из ЧИСТОЙ (LiveCD) среды и последующем удалении вредоносного ПО, вирус остается в системе. Как такое возможно? »

1. Вирус очень новый, чтобы отследить его по сигнатурам (их ещё в базу не добавили)
2а. Данный файл не содержит функции размножения (она была в удалённых файлах) и других специфичных для вируса/трояна операций
2б. Не был включен "эвристический анализ"

И, в довершении, drweb не проверяет ресстр и не восстанавливает пути :(

Через ERD Commander полностью очистил следующие папки: C:\WINDOWS\Prefetch и C:\WINDOWS\Temp. Также поудалял неизвестные файлы в подпапках папки C:\Document and Settings. В итоге система загрузилась, но…

Наблюдается некоторая странность. Дело в том, что у друга есть ADSL LAN-модем. Если этот модем держать выключенным (т. е. сетевая карта не видит его), то все в порядке. Если же его включить, а потом попытаться вызвать диспетчер задач, то вылетит BSOD с ошибкой PAGE_FAULT_IN_NONPAGED_AREA и кодом 0x000000050 без указания имени файла. При этом, перед BSOD я пробовал заходить на сайты. Opera не может зайти ни на один сайт, а у IE с этим проблем нет (именно поэтому я начал искать причину этой неполадки, вызвав в первую очередь диспетчер задач).

Если оставить модем включенным перед загрузкой, то BSOD возникает сам по себе через какое-то время или при выполнении некоторой операции (просмотр свойств файла, кликанье правой кнопкой мыши по файлу и т. п.). В безопасном режиме все работает гладко.

Путешествие по журналу событий и службам результатов не дало, за исключением одного «но». В списке служб я заподозрил одну из них, имеющую очень странное имя: oigwazxua. Но данная служба запускает вполне безобидный процесс: svchost.exe -k … (здесь не помню, что было). Также странными мне показались две службы с именами PnkBstrA и PnkBstrB, запускающими файлы C:\WINDOWS\system32\PnkBstrA.exe и C:\WINDOWS\system32\PnkBstrB.exe соответственно. Все эти службы я отключил, но результатов не было.

Также я попробовал восстановить все файлы, которые удалил из папки C:\WINDOWS\Temp (уж больно она много занимала — 1 ГБайт). Окно вируса не появлялось, но проблема осталась.

Вирусов на компьютере нет.

Вполне естественно возникает один из самых резонных вопросов: что делать?

Цитата:

Цитата HatoL

Также странными мне показались две службы с именами PnkBstrA и PnkBstrB, запускающими файлы C:\WINDOWS\system32\PnkBstrA.exe и C:\WINDOWS\system32\PnkBstrB.exe соответственно. Все эти службы я отключил, но результатов не было. »

Цитата:

PunkBuster - автоматически самообновляющаяся система программного обеспечения античитерства на сервере. Это означает, что за игроком в процессе игры устанавливается наблюдение PunkBusterом, которое отсылает на сервер все нарушения конкретного игрока. Система PunkBuster разработана, для того чтобы все игроки были ответственны за свои поступки в онлайн играх, при использовании читерских команд. PunkBuster не изменяет никаких файлов или функции настройки на вашем компьютере, даже если и обнаруживается некоторые типы нарушений во время игры у данного игрока, а просто выводит сообщение ему о нарушениях допущенных им и кикает (удаляет) игрока с сервера или же банит. Admin сервера в праве включать на сервере или не включать PunkBuster, всё зависит только от его желания. Вы можете в настройках игры отключить PunkBuster, но при этом у вас будет уже ограниченный список серверов, на которых тоже PunkBuster будет отключён. PunkBuster не является вирусной программой и создан для честной игры на сервере. Дополнительно, PunkBuster не передает ваши частные данные на любой другой компьютер, не содержет собственных баз данных в которых описаны ваши персональные данные. PunkBuster в основном только ищет не стандартные действия в процессе вашей игры.

Игры имеете ?

Цитата:

Цитата HatoL

oigwazxua »

Чем-то мне это Kido напоминает...

Цитата:

Цитата HatoL

Вполне естественно возникает один из самых резонных вопросов: что делать? »

Хм... логи не можете с проблемного ПК выложить?

Цитата:

Цитата Котяра

Чем-то мне это Kido напоминает... »

Тогда еще и лог Gmer в нагрузку.

Цитата:

Цитата HatoL

C:\WINDOWS\system32\PnkBstrA.exe и C:\WINDOWS\system32\PnkBstrB.exe »

Принер\МФУ Brother есть? У меня они висят и все чисто.

Цитата:

Цитата Комсомолец

PnkBstrA.exe »

Цитата:

Цитата Комсомолец

PnkBstrB.exe »

Это программы которые помогают бороться с читтерами в игрушках.

Синий экран появляется и без активного подключения к интернету — нам просто показалось. В безопасном по-прежнему все нормально. Сделал логи, о которых вы просили (делал в обычном, небезопасном режиме).

На время выполнения скрипта отключить все защитное ПО (антивирус, файрволл). Включить брандмауэр Windows

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CKICM5HI\1[1].exe','');

 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');

 QuarantineFile('C:\WINDOWS\Temp\rdl99.tmp.exe','');

 QuarantineFile('digeste.dll','');

 QuarantineFile('C:\WINDOWS\system32\sw20.exe','');

 QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');

 QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');

 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');

 QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');

 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');

 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');

DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');

 DeleteFile('C:\WINDOWS\system32\svshost.dll');

 DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');

 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');

 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');

 DeleteFile('C:\WINDOWS\system32\sw20.exe');

 DeleteFile('digeste.dll');

 DeleteFile('C:\WINDOWS\Temp\rdl99.tmp.exe');

 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');

 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CKICM5HI\1[1].exe');

DeleteFileMask('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);

DeleteFileMask('C:\WINDOWS\Temp\', '*.*', true);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(9);

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack

Код:

 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru

O21 - SSODL: oledll - {59945B67-9234-9234-D929-7F84D923BC79} - C:\WINDOWS\system32\wrZ2tokl.dll

O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll

Сделайте новые логи

Прошу прощения, я думал, что мне ответят раньше. А так как компьютер нужен был в рабочем состоянии срочно и времени у меня не было, я просто переустановил Windows (без форматирования системного диска). Перед этим пробовал удалять подозрительные файлы из C:\WINDOWS\system32, которые фигурировали в логах AVZ, а также файл C:\Program Files\Microsoft Common\svchost.exe. В итоге система отказывалась загружать explorer.exe (появлялся просто чистый рабочий стол). Когда я пытался загрузить его вручную, через диспетчер задач, то появлялось сообщение, что «Windows не может найти файл …». Всем спасибо.