Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Заблокирован компьютер, система не запускается (http://forum.oszone.net/showthread.php?t=136914)

garik404 06-04-2009 11:34 1085500
Заблокирован компьютер, система не запускается
 
Здравствуйте!
05.04.09 при нахождении в интернете вдруг вышло сообщение на весь экран: Внимание! Ваш компьютер заблокирован!
Для разблокировки Вам необходимо Отаправить на Номер **** SMS "exeunlock".
При перезагрузке после набора пароля пользователя выходит данная заставка.
На компьютере установлены Win XP (SP3) и Win Vista. При загрузке в безопасном режиме загружается Vista.
Помогите вылечить раздел XP без форматирования если это возможно!

Владимир.

thyrex 06-04-2009 11:38 1085501
Заставка на весь экран? Доступ к панели задач, кнопке Пуск есть?

garik404 06-04-2009 11:45 1085507
Нет, ни к чему доступа нет!

Vista грузится. Возможнот ли через нее что-либо призвести.

Pili 06-04-2009 11:53 1085523
garik404, Проверьте все диски с помощью cureit, AVPtool и МВАМ, загрузившись в Vista, попробуйте сделать логи по правилам в WinXP (хотя бы в безопасном режиме)

garik404 06-04-2009 12:13 1085546
У меня стоит Kas. In. Sec. 7.0 - возможно с его помощью обнаружить данную проблему?

thyrex 06-04-2009 12:20 1085553
Вряд ли. Он же зловреда пропустил на компьютер.
Выполняйте совет Pili

Котяра 06-04-2009 12:44 1085573
garik404, загрузитесь в безопасном режиме с поддержкой командной строки и попробуйте выполнить команду explorer.exe - Проводник/Рабочий стол. Также можно попробовать taskmgr.exe - Диспетчер Задач Windows. Также можно запустить утилиту AVZ/HijackThis, введя путь к ней и нажав ENTER.

virbus 07-04-2009 22:10 1087263
Только что поймал тоже самое, стоит Win XP SP3, в безопасном режиме вообще не грузиться, восстановление при загрузке от Acronis'а не помогло, т.к. сразу грузиться система (надпись Acronis'а не появляется). Выкрутился с помощью Boot Disk'а с Арконисом :-)

garik404 08-04-2009 00:14 1087380
Цитата:
Цитата virbus
лько что поймал тоже самое, стоит Win XP SP3, в безопасном режиме вообще не грузиться, восстановление при загрузке от Acronis'а не помогло, т.к. сразу грузиться система (надпись Acronis'а не появляется). Выкрутился с помощью Boot Disk'а с Арконисом :-) »
Можно подробней объяснить процесс лечения и ссылку на Boot Disk с Арконисом. garik404

Severny 08-04-2009 00:15 1087382
garik404,
Если Вы не создавали резервный образ системного раздела, то этот способ Вам бесполезен, как и сообщение virbus.
Вам нужно воспользоваться этим советом, проверив из под Висты.

Котяра 08-04-2009 00:25 1087393
Цитата:
Цитата garik404
Можно подробней объяснить процесс лечения и ссылку на Boot Disk с Арконисом. garik404 »
Режим отладки (Debugging Mode) не загружается?

Попробуйте поискать на диске с XP файл svhgost.exe (именно так!) и удалить.

Профессионалы, скажите: регедит Висты подключит ветки реестра XP?

virbus 08-04-2009 09:54 1087597
Цитата:
Цитата garik404
Можно подробней объяснить процесс лечения и ссылку на Boot Disk с Арконисом. garik404 »
Лечением это не назовешь - это восстановление, давно практикую после установки системы делать резервный образ, спасало много раз.
Использовал этот диск
Ссылка на варез удалена. Предупреждение, ещё раз попробуете - будет бан.
он содержит:
- Установка Windows XP в автоматическом режиме
- Установка Windows XP в ручном режиме + восстановление
- Hiren's Boot CD 9.7 RUS от lexapass
- WindowsPE full CD Edition (codename "SunBear") от XaseR
- Загрузка с ошибкой NTLDR is missing
- Windows Key Enterprise Edition 8.0 build 2596

brt 08-04-2009 22:18 1088326
garik404, скачай Dr.Web LiveCD:
http://www.freedrweb.com/livecd
запиши на CD диск и запустись с него, проверишь весь жёсткий диск, даже если винда не грузится ;)

garik404 09-04-2009 11:18 1088702
Цитата:
Цитата brt
garik404, скачай Dr.Web LiveCD:
http://www.freedrweb.com/livecd
запиши на CD диск и запустись с него, проверишь весь жёсткий диск, даже если винда не грузится »
LiveCD не запускается т.к. он сформирован на Linuxe, а он не воспринимает видимо все железо компа.

Pili 09-04-2009 11:57 1088738
garik404, Варианты:
Подключите винчестер к другому компьютеру и проверьте различными антивирусами (напр. cureit, МВАМ и др. - см. в подписи). Сделайте загрузочный CD (WinPE, BartPE и пр.) и проверьте cureit (можно предварительно распаковать например на флешку и запустить _start.exe)
Дополнительно
KAV RescueDisk
Avira Antivir RescueCD
Можете подключить реестр как куст или воспользоваться ERD Commander и посмотреть ветки реестра
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Рекомендую ознакомиться с описанием Viruslist.com - Trojan.Win32.Krotten.l
И Если что-то отключено — wiki.drweb.com - Если не запускаются программы.

Котяра 09-04-2009 14:11 1088844
Pili, ну не факт, что это кроттен, однако посоветую тут
Цитата:
Цитата Pili
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run »
удалить "Ekzabc" - это элемент вируса подобного типа.
Еще забыли: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр Shell должен быть равен explorer.exe и ничего после, если будет что-то иное, ставим explorer.exe.

Итак, правка реестра:
1. Запустите regedit.exe Vista

Это можно сделать, нажав и R вместе и введя regedit.exe.
2. Щелкните
3. В меню выберите Файл => Загрузить куст. Укажите файл \windows\system32\config\software на диске XP.
4.
Введите TEST.
5. Перейдите к HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon
6. Дважды нажмите на Shell.
7. Введите explorer.exe
8. Кликните ОК
9. Перейдите к HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows\CurrentVersion\Run
10. Удалите ekzabc
11. Щелкните TEST
12. Выберите файл, Выгрузить куст

garik404 09-04-2009 16:58 1089020
Вложений: 1
Цитата:
Цитата Pili
Подключите винчестер к другому компьютеру и проверьте различными антивирусами (напр. cureit, МВАМ и др. - см. в подписи). Сделайте загрузочный CD (WinPE, BartPE и пр.) и проверьте cureit (можно предварительно распаковать например на флешку и запустить _start.exe) »
Curiet проверил - ничего не нашел.
Запустил AVZ и как указано на форуме по правилам провел проверку. Нашел трояны на Viste и XP, но действующую проблему не решил.
Прикрепляю протоколы проверок.
На С - Vista, D - XP.

http://forum.oszone.net/attachment.p...1&d=1239282315

garik404 09-04-2009 17:12 1089032
Вложений: 2
Цитата:
Цитата garik404
hijackthis.rar (2.4 Kb) »
Цитата:
Цитата garik404
virusinfo_cure.zip (8.2 Kb) »
Цитата:
Цитата garik404
virusinfo_syscheck.zip (42.8 Kb) »
Цитата:
Цитата garik404
virusinfo_syscure.zip (40.3 Kb) »

Pili 09-04-2009 17:29 1089048
garik404, Логи делались в Vista, проблема у вас возникает в этой ОС? Скриптом ниже чистм только то, что в Vista, AskTBar - деинсталлируйте через установку/удаление программ.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Alta\SSTART.EXE','');
 QuarantineFile('C:\Program Files (x86)\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL','');
 DeleteFile('C:\Program Files (x86)\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL');
 DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files (x86)\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files (x86)\AskTBar\bar\1.bin\ASKTBAR.DLL
Очень странная версия ОС, многие файлы не прошли проверку по базе безопасных.
Если проблема возникает в Vista, можете пополнить базу чистых файлов AVZ, дождаться рез-та анализа CyberHelper`ом архива, далее через некоторое время обновить базы AVZ и сделать новый лог virusinfo_syscheck.zip, 2-ой стандартный скрипт AVZ
Выложите также результаты проверки архива безопасных, дополнительно см. здесь

Если проблема возникает в Windows XP - загрузитесь в Windows XP и сделайте логи по правилам, если в Windows XP загрузится не получается, см. пост 15
Дополнительно, если будет редактировать реестр Windows XP из под Vista (или с CD), кроме веток реестра из 15 и 16 поста, посмотрите ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
И выставьте там значения, отключающие Software Restriction Policies "DefaultLevel"=dword:00040000 и "PolicyScope"=dword:00000001

Котяра 09-04-2009 18:00 1089080
Цитата:
Цитата Pili
Если проблема возникает в Windows XP - загрузитесь в Windows XP и сделайте логи по правилам, если в Windows XP загрузится не получается, см. пост 15
Дополнительно, если будет редактировать реестр Windows XP из под Vista (или с CD), кроме веток реестра из 15 и 16 поста, посмотрите ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
И выставьте там значения, отключающие Software Restriction Policies "DefaultLevel"=dword:00040000 и "PolicyScope"=dword:00000001 »
По первому посту - проблема в XP.
Pili, А за что эта ветка реестра отвечает?

Pili 09-04-2009 18:09 1089085
Цитата:
Цитата Котяра
По первому посту - проблема в XP »
Я знаю. На оба случая рекомендации были, в висте adware, мелочь.
Цитата:
Цитата Котяра
А за что эта ветка реестра отвечает? »
За enable/disable Software Restriction Policies
How Software Restriction Policies Work

Hromius 10-04-2009 11:38 1089771
Загрузиться с Live CD.Удалить файл c:\documents and Settings\All Users\Application Data\ были обнаружен файл bloker.exe
После его изоляции, в систему войти и провести полную зачистку антивирусом. Удалить в реестре ссылки на этот файл , в частности HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

thyrex 10-04-2009 11:45 1089785
Hromius, не факт, что все такие файлы-блокираторы имеют такое имя и (или) располагаются по такому пути пути

Hromius 10-04-2009 11:48 1089792
thyrex, согласен. Но я не раз с ним сталкивался, в большинстве случаев именно там лежит. Имя может быть видоизменено, но левый *.exe файл в данной директории вычислить не так и трудно.

Котяра 10-04-2009 13:31 1089875
Hromius, еще есть C:\windows\system32\drivers\winlogon.exe, C:\windows\system32\drivers\svchost.exe (не путать с настоящими в SYSTEM32), часто имеют иконку как настоящего winlogon, с изображением "месяца за окном". Правда, оные требуют ЯндексДенег. А вот SMS блокиратор зачастую называется svhgost.exe (чуточку похоже на svchost) и в 99% имеет автозапуск под названием ekzabc

Hromius 10-04-2009 13:59 1089898
Котяра, о, спасибо. Этого не знал!

Котяра 10-04-2009 16:03 1090055
Hromius, еще оные drivers\svchost, drivers\winlogon прописываются в Shell, засчет чего и запускаются.
А насчет bloker.exe - я сейчас нашел источник вируса, блокирующего ПК. Это сайты с порноинформером. На некоторых из них вместо установщика информера установщик blocker-а. Правда, в отличие от порноинформера, эта зараза детектится Касперским. Кстати, в условиях пользования естественно только про информер - про этот вирус ничего нет. А вот и картинки http://ilzarka.habrahabr.ru/blog/56869/
На моей виртуальной Virtual PC он прописался как don1.tmp в Userinit после оригинал
Будьте осторожны!

garik404 12-04-2009 22:30 1092195
Обнаружил в "Documents and Settings" в папке пользователя два файла "e.xe" и "load(1)".exe.
После их удаления стал загружаться рабочий стол без иконок и без допуска в "пуск".
Видимо я что-то удалил когда пользовался AVZ и др.программами проверки и чистки.
Переустановил "Win XP" и тут же создал архивную копию чтобы больше на это не попадаться.
При просмотре указанных файлов идет ссылка на файлы *.dll в Windows\system32\.

Котяра 13-04-2009 00:35 1092321
garik404, у Вас просто
Цитата:
Цитата garik404
в папке пользователя два файла "e.xe" и "load(1)".exe. »
были зарегистрированы вместо userinit.exe или explorer.exe

Pili 13-04-2009 08:38 1092474
garik404, в вирлаб файлы отправили? Если проблемы ещё остались, логи сделайте.

garik404 13-04-2009 21:34 1093164
Цитата:
Цитата Pili
Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите. »
Данный файл я отправил 09.04.09 как у Вас указано. Других отправок не производил

Pili 13-04-2009 22:48 1093260
Цитата:
Цитата garik404
Обнаружил в "Documents and Settings" в папке пользователя два файла "e.xe" и "load(1)".exe. »
Эти файлы желательно отправить в вирлаб в архиве с паролем virus
Почитайте ещё здесь на будущее. Если проблемы ещё остались, сделайте логи.

Wolf.bris 18-04-2009 16:07 1097569
Доброго времени суток!
У меня таже история. стоит XP SP3. Прихожу на работу, гружу комп под админом, такая табличка выскакивает, все заблакировано. Под другими пользователями с ограниченными правами комп грузится нормально

Pili 18-04-2009 16:56 1097592
Wolf.bris, Здравствуйте. Сделайте пожалуйста логи по правилам
Если система заблокирована, попробуйте добраться до AVZ этим методом.

В этой теме логов нет более 5 дней. Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил


Время: 04:02.

Время: 04:02.
© OSzone.net 2001-