Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] XP заблокирована вирусом, вход в систему через безопасный режим невозможен (http://forum.oszone.net/showthread.php?t=164432)

Kaban-keb 23-01-2010 16:28 1327802

XP заблокирована вирусом, вход в систему через безопасный режим невозможен
 
Доброго времени! Помогите решением проблемы:
Не могу войти в систему, после окна приветствия (Добро пожаловать) выскакивает окно, в котором предлагается отправить смс-сообщения для вставки ответного в окошко (и мнимого решения якобы имеющихся вирусов).
Через восстановление последней удачной конфигурации, режим отладки, безопасный режим, безопасный режим с загрузкой сетевых драйверов войти не могу. Безопасный режим с поддержкой командой строки загружается.
Ноутбук: HP Pavilion dv7 2130 er. 1 ОС: Windows Vista SP2, 2 ОС: Windows XP SP3 (проблемная). С Висты проверил весь компьютер через KAV 2010 - чисто. Также было замечено, что на 4 разделах диска появились скрытые файлы: md.exe и при его запуске Касперский выдаёт сообщение про работу вируса, а отчётах читаю: "легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя PDM.Trojan.generic критичность высокая, на карантине"
Также были изменены значки на 3 из 4 разделов, на классические жёлтые.
Заражение произошло ровно во время посещения сайта с пиратским софтом.

okshef 23-01-2010 16:45 1327812

kaban-keb, в папке windows\system32 (в разделе с XP) найдите скрытый системный файл user.exe (или user32.exe) и удалите. Файлы md.exe и autorun.ini (если есть в корнях разделов) удалите и ни в коем случае не запускайте.

Kaban-keb 23-01-2010 17:35 1327859

okshef, спасибо за ответ. Перед выполнением операций хочу уточнить несколько моментов:
В проблемном разделе с XP/WINDOWS/system32 имеются несколько файлов: user.exe, user32.dll и user32.exe. Файлы user.exe, user32.dll были созданы в апреле и сентябре прошлого года (соответственно), и лишь файл user32.exe имеет дату создания на день заражения (т.е. сегодня), причём все 3 - нескрытые. Удалять все?
Также хочу уточнить: файлы, необходимые к удалению, точно с названием autorun.ini? (в некоторых разделах имеются файлы: autorun.inf (скрытый)(в 3 из 4 разделах, включая проблемный), boot.ini (на непроблемной Висте, скрытый) и Desktop.ini (на разделе для восстановления, скрытый); что делать с ними?
Также прошу помощи в замене значков разделов (или всё поменяется после удаления?)
Ну и разъясни мне, незнающему, что значит "корнях разделов".
Спасибо.

okshef 23-01-2010 17:42 1327863

Цитата:

Цитата kaban-keb
что значит "корнях разделов" »

это
Цитата:

Цитата kaban-keb
в некоторых разделах »

(а не в их каталогах, т.е. непосредственно на "диске")
Цитата:

Цитата kaban-keb
и лишь файл user32.exe »

только этот!!!
Цитата:

Цитата kaban-keb
autorun.inf (скрытый)(в 3 из 4 разделах, включая проблемный) »

ошибся с расширением - его. boot.ini - файл, необходимый для загрузки XP - не удаляйте!!!
Если будете удалять через корзину - корзину очистите.
После удаления - перезагрузка и логи по правилам.

Kaban-keb 23-01-2010 17:59 1327877

okshef, продолжаю благодарить за помощь.
С userами понял: на проблемной ХР удаляем файл user32.exe (созданный сегодня, на момент заражения), файлы user.exe, user32.dll не трогаем.
Но уточни, пожалуйста, кто ошибся с расширением я или ты. Предполагаю, что ты. Значит нужно удалить все файлы autorun.inf (в корнях всех разделов), а файлы boot.ini (на непроблемной Висте, скрытый) и Desktop.ini (на разделе для восстановления Висты, скрытый) не трогаем.
Так?

okshef 23-01-2010 18:03 1327880

Все правильно!

Kaban-keb 23-01-2010 18:37 1327903

okshef, после выполнения удаления файлов и очистки корзины, ХР запустился, но кроме фона на рабочем столе ничего нет. Запуск диспетчера задач ничего не дал - выдаётся сообщение "диспетчер задач отключен администратором".
Загрузившись с Висты в компьютере вижу появление подлинных значков разделов - гуд :).
Прошу помощи восстановления значков рабочего стола, панели и проводника.
Также поясни, что значит "перезагрузка и логи по правилам", может я что не так сделал.
И, раз это раздел по обсуждению вирусов/антивирусов, подскажи, что будет с файлом PDM.Trojan.generic, который находится на карантине в случае сноса Касперского?

Drongo 23-01-2010 20:34 1328004

Цитата:

Цитата kaban-keb
Также поясни, что значит "перезагрузка и логи по правилам", может я что не так сделал. »

Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

Kaban-keb 26-01-2010 21:21 1330706

Подскажите, как запустить утилиты. В безопасном режиме, как и в обычном, отсутствует что-либо на экране. Или можно проверить на второй непроблемной ОС?

iskander-k 26-01-2010 22:11 1330761

Цитата:

Цитата kaban-keb
Подскажите, как запустить утилиты. »

Проблемные файлы на которые указывает каспер возьмите в карантин И проверьте на http://www.virustotal.com/ru/ (при удалении каспер его сам занесёт в карантин.) Попробуйте скачать http://www.freedrweb.com/livecd/ записать на диск и запустить с него комп. И просканировать.

Или нажать на кнопку winwows кнопка с флажком и в поиск ввести имя программы ( AVZ ) если программа на диске CD вставить диск в привод и тоже самое с куреитом . Когда прога найдётся запустить.

Kaban-keb 26-01-2010 22:35 1330789

А можно с утилитами CureIt, AVZ и HijackThis поработать на второй, непроблемной ОС?

okshef 26-01-2010 22:38 1330793

С HJT для воздействия на проблемную ОС - нельзя, эта утилита работает с реестром активной системы, c CureIt и AVZ - можно в режиме выборочного сканирования. Естественно, применить их на непроблемной ОС можно, только зачем?

Kaban-keb 26-01-2010 22:50 1330802

okshef, но ведь без HijackThis не получится сделать логи :(. Как быть? Может как нибудь через безопасный режим с поддержкой командой строки? (он на проблемной ОС вроде как загружается). Внимательно выслушаю последовательность действий :type:

okshef 26-01-2010 22:55 1330806

kaban-keb, если вы зловреда удалили, то проблем со входом быть не должно. Или проблемы есть? Вы можете с помощью CureIt сделать проверку раздела с проблемной системой, а потом в нее загрузиться и там уже сделать логи.

Kaban-keb 26-01-2010 22:58 1330808

okshef, после выполнения удаления файлов и очистки корзины, ХР запустился, но кроме фона на рабочем столе ничего нет. Запуск диспетчера задач ничего не дал - выдаётся сообщение "диспетчер задач отключен администратором".
Загрузившись с Висты в компьютере вижу появление подлинных значков разделов - гуд :).
Прошу помощи восстановления значков рабочего стола, панели и проводника.

okshef 26-01-2010 23:05 1330814

kaban-keb, делайте логи по правилам, лечение - по логам

Kaban-keb 27-01-2010 01:12 1330898

Цитата:

Цитата okshef
Вы можете с помощью CureIt сделать проверку раздела с проблемной системой, а потом в нее загрузиться и там уже сделать логи. »

Проверку раздела с проблемной системой провёл утилитой CureIt, были найдены 6 Trojan (Oficla и Winlock). Однако система по-прежнему грузится без меню. Я бы и рад сделать логи, но как?

okshef 27-01-2010 07:26 1331033

Цитата:

Цитата kaban-keb
Я бы и рад сделать логи, но как? »

Пуск - выполнить (Win + R) не работает? Пуск - мой компьютер - папки с HJT и AVZ - программы.

Kaban-keb 27-01-2010 11:34 1331202

Цитата:

Цитата okshef
Пуск - выполнить (Win + R) не работает? Пуск - мой компьютер - папки с HJT и AVZ - программы. »

На запрос диспетчера задач "Ctrl+Alt+Del" отвечает "Диспетчер задач отключён администратором ", На запросы "Win+R" и "Win+E" система не отвечает!

iskander-k 27-01-2010 13:37 1331337

Цитата:

Цитата iskander-k
Или нажать на кнопку winwows кнопка с флажком »

Вы пробовали нажимать только на одну эту кнопку ? Должно появится меню Пуск - все программы далее передвигаться кнопками - Стрелки - применить \открыть - кнопка Enter

Kaban-keb 27-01-2010 14:47 1331398

Цитата:

Цитата iskander-k
Вы пробовали нажимать только на одну эту кнопку ? Должно появится меню Пуск »

При нажатии на одну только эту кнопку, также ничего не происходит.

okshef 27-01-2010 15:08 1331422

kaban-keb, какие сочетания приводят к положительному результату (появлению какого-нибудь окна)? Что в безопасном режиме?

Kaban-keb 27-01-2010 15:21 1331432

okshef, к положительному результату не приводят точно следующие комбинации: "Ctrl+Alt+Del", "Win+R", "Win+E" (и в обычном, и в безопасном режимах), только выдаётся сообщение "диспетчер задач отключён администратором" при команде "Ctrl+Alt+Del". Окна рабочего стола в обоих режимах пустые, на запросы мыши не реагирует.

okshef 27-01-2010 16:20 1331480

На Vista скачайте Regedit PE 1.1.0.0, запустите с правами администратора. Запустите поиск по "Run" (по имени раздела, имя - целиком) в реестре и экспортируйте разделы реестра RUN проблемной системы. Также произведите поиск по "userinit.exe" и так же экспортируйте файлы реестра. Экспортированные файлы прикрепите к сообщению

Kaban-keb 28-01-2010 02:16 1331896

okshef, тут всё в куче.

okshef 28-01-2010 07:48 1331985

kaban-keb, неплохо, найдите таким же способом все упоминания user32.exe (так же: поиск, значения параметров, имя целиком) и удалите значения параметров с участием этой программы.
Цитата:

[HKEY_LOCAL_MACHINE\_D_comp_software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001
"DefaultDomainName"="ADMIN-EAE1D90BE"
"DefaultUserName"="Admin"
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"

"Shell"="%SystemRoot%\\system32\\user32.exe rundll32.exe ovjp.fbo tklvr"

"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"
в цитате подчеркнутое - удалите.

Но если будет упоминание user32.exe в нижней строчке: "Userinit"="D:\\WINDOWS\\system32\\userinit.exe," - то ее нужно не удалять, а править (двойным щелчком по значению) - и приводить к такому виду - с запятой в конце.

E-mpty 28-01-2010 11:31 1332179

Цитата:

Цитата okshef
в цитате подчеркнутое - удалите. »

Лучше заменить на Explorer.exe, а то после перезагрузки не будет проводника...
"Shell"="Explorer.exe"

Потом можно снять все ограничения с помощю АВЗ или утилитой Dial-a-fix , при запуске утилиты, если есть ограничения, выскочит окно : нужно нажать Remove, после этого сделать логи по правилам.

okshef 28-01-2010 12:05 1332213

Цитата:

Цитата E-mpty
Потом можно снять все ограничения »

потом нужно проверить систему, а затем снимать ограничения.

Kaban-keb 28-01-2010 23:35 1332907

Господа модераторы, действия выполнил; после "Shell" стоит "Explorer.exe"; пишу с проблемной ХР :). Мои действия? Выполнить рекомендации и прикрепить к следующему сообщению полученные логи?

okshef 28-01-2010 23:38 1332908

kaban-keb, да, все по правилам

Kaban-keb 29-01-2010 13:49 1333415

Прикрепил

E-mpty 29-01-2010 15:56 1333550

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('D:\WINDOWS\explorer.exe','');
 QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Temp\~DFE854.tmp','');
 QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Temp\~DFDAF9.tmp','');
 DeleteFile('D:\Documents and Settings\Admin\Local Settings\Temp\~DFDAF9.tmp');
 DeleteFile('D:\Documents and Settings\Admin\Local Settings\Temp\~DFE854.tmp');
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните следующий скрипт:
Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

После вполнения срипта, в папке с программой АВЗ, сформируется архив quarantine.zip. Отправте карантин, на newvirus@kaspersky.com

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Kaban-keb 16-02-2010 13:00 1348475

После незапланированой командировки хотелось бы продолжить лечение. Выкладываю заново логи, т.к. в моё отсутствие на машине работали, и к тому же утилита CureIt нашла зловреда. Спасибо.

okshef 19-02-2010 23:29 1351577

По логам заражения не вижу, может кто что скажет дополнительно
выполните скрипт AVZ
Код:

begin
 ExecuteRepair(10);
 RebootWindows(true);
end.

Компьютер перезагрузится. Попробуйте войти в безопасный режим.
Скачайте MBAM, перейдите на вкладку Обновление, выполните обновление, выполните полное сканирование, лог сканирования сохраните и прикрепите к сообщению.
По проблемам:
Цитата:

>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
Запустите AVZ, нажмите файл - Мастер поиска и устранения проблем выполните проверку, выделите найденные, нажмите "Устранить"

Kaban-keb 20-02-2010 18:51 1352064

Скрипт выполнил, через AVZ устранил проблемы. Прикрепляю отчёт работы MBAM.

iskander-k 20-02-2010 19:57 1352127

Цитата:

Цитата kaban-keb
Прикрепляю отчёт работы MBAM. »

В МБАм можете удалить всё кроме этих значений
Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

И будьте внимательны МБАМ не любит креки.
Всё что удаляете в МБАМ можно восстановить.

для удаления нужно повторить проверку и отметить нужное или наоборот снять галки.

Kaban-keb 20-02-2010 23:18 1352256

Всё , кроме указанных веток реестра удалено. Предполагаю, что лечение завершено, если так, ещё несколько вопросов:
- Будет ли утилита Malwarebytes Anti-Malware 1.44 работать на Висте и 7?
-
Цитата:

Цитата Pili
В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов" (не забудьте после окончания лечения удалить драйвер AVZM) »

Как удалить драйвер (с помощью меню AVZ)?

- На второй, непроблемной Висте появились следующие папки: "$WINDOWS.~BT", "PerfLogs", "SWSetup", а также 2 файла: "msdia80.dll", и "PDOXUSRS.NET".
Кажется их не было, что делать с ними?

okshef 20-02-2010 23:24 1352258

Судя по вашему сообщению, проблем больше нет? Ответы на ваши вопросы
  • MBAM работает на Vista и 7 после установки.
  • запустите AVZ - AVZPM - "Удалить и выгрузить драйвер расширенного мониторинга"
  • папка "$WINDOWS.~BT" - остаток от начала установки Windows, насчет файлов - не знаю

Kaban-keb 20-02-2010 23:31 1352260

Могу удалить "$WINDOWS.~BT" "SWSetup"?

okshef 20-02-2010 23:45 1352269

Насчет второй - не уверен, первую - можете.

Kaban-keb 20-02-2010 23:56 1352277

Считаю тему завершённой, огромное спасибо автору и модераторам: Drongo, iskander-k, E-mpty. Отдельное спасибо okshef.


Время: 17:01.

Время: 17:01.
© OSzone.net 2001-