Порнобаннер, блокирующий запуск AVZ

Модератор: YoungMax

Порнобаннер, блокирующий запуск AVZ

Сообщение Meister » 21 май 2010 00:47

Симптомы:
На компьютере появляется баннер с просьбой отправить смс с текстом на определённый номер. Сообщается, что это не вирусная программа и никаких изменений в системе не делает :)
Не удаётся запустить Диспетчер задач, Редактор реестра и Редактор групповой политики.
При попытке запуска AVZ Windows автоматически завершает работу.
Альтернативные антивирусные программы (Dr Web CureIt, Hijack) не запускаются.
Запуск оболочек антивирусов блокируется правилами групповой политики.

Краткий алгоритм действий по устранению проблемы
Обязательно необходим диск с LiveCD, содержащий ERD-Commander, позволяющий редактировать реестр установленной на жёсткий диск операционной системы.
В редакторе реестра необходимо отредактировать ветки:
Код: Выделить всё
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

изменить ключ AppInit_DLLs
Код: Выделить всё
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

удалить ключи DisableTaskMgr и DisableRegistryTools
Таким образом в заражённой ОС становится возможным запуск Редактора реестра и Диспетчера задач, из которого после перезагрузки в заражённую ОС можно завершить все подозрительные процессы.
После этого появляется возможность запустить AVZ, выполнить обновление его базы, и запустить скрипты лечения и сбора информации.

Резюме:
Так как файлы отчётов всё-таки удалось сделать выкладываю их в теме.
В итоге, реанимированный KIS2010, который не имел лицензионного ключа и не обновлялся владельцем компьютера с марта месяца нашёл ещё около 63 инфицированных файлов и благополучно их удалил.
Вложения
virusinfo_syscure.zip
(27.38 Кб) Скачиваний: 551
virusinfo_syscheck.zip
(26.99 Кб) Скачиваний: 518
Начни день с надежды, а заверши с благодарностью
Просьба!
---
XXX: да, Винда — адская система!
YYY: это Линукс адская с его демонами. Винда - система христианская, там иконы и службы проводятся.
Аватара пользователя
Meister
Хранитель традиций
 
Сообщения: 3450
Зарегистрирован:
04 дек 2007 22:32
Откуда: Воронеж, Минская, Лес, 4-я ёлка слева

Re: Порнобаннер, блокирующий запуск AVZ

Сообщение YoungMax » 21 май 2010 09:24

Meister
Полиформный AVZ не пробовал запустить?
Для начала коды раблокировки не вводил?

Выполнить:(компьютер перезагрузится)
Код: Выделить всё
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp1C87.tmp','');
QuarantineFile('vgasys.fon','');
QuarantineFile('vgaoem.fon','');
QuarantineFile('vgafix.fon','');
QuarantineFile('logon.scr','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
QuarantineFile('C:\WINDOWS\system32\62ccebd0.exe','');
QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_iastor.sys','');
QuarantineFile('C:\WINDOWS\system32\CRYPTUI.dll','');
QuarantineFile('C:\WINDOWS\system32\hspe.uvo','');
DeleteFile('C:\WINDOWS\system32\hspe.uvo');
DeleteFile('C:\WINDOWS\system32\CRYPTUI.dll');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\dump_iastor.sys');
DeleteFile('C:\WINDOWS\System32\tssdis.exe');
DeleteFile('C:\WINDOWS\system32\62ccebd0.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir','EventMessageFile');
DeleteFile('C:\WINDOWS\system32\psxss.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System','EventMessageFile');
DeleteFile('logon.scr');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Control Panel\Desktop','scrnsave.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Control Panel\Desktop','scrnsave.exe');
DeleteFile('vgafix.fon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','fixedfon.fon');
DeleteFile('vgaoem.fon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','oemfonts.fon');
DeleteFile('vgasys.fon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','fonts.fon');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp1C87.tmp');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(12);
ExecuteRepair(13);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.


После перезагрузки выполнить скрипт:
Код: Выделить всё
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
    if j=0 then
        NumStr:='CurrentControlSet' else
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Re: Порнобаннер, блокирующий запуск AVZ

Сообщение Meister » 21 май 2010 10:11

-=YoungMax=- писал(а):Полиформный AVZ не пробовал запустить?

Не запускался. Да, кстати, переименование папки с AVZ и exe-файла AVZ не помогло: Windows не завершал работу, однако, сам AVZ вылетал через секунду после запуска.
-=YoungMax=- писал(а):Для начала коды раблокировки не вводил?

Баннер мигал и не давал ничего ввести в окно кода разблокировки.

-=YoungMax=- писал(а):Выполнить:(компьютер перезагрузится)

Уже ничего выполнять не нужно. Я же написал как решил эту проблему и чем всё закончилось. Тема носит познавательный характер. Логи AVZ опубликованы по просьбе Diesel. Вся информация, в том числе и твои скрипты, могут быть полезны другим.
Начни день с надежды, а заверши с благодарностью
Просьба!
---
XXX: да, Винда — адская система!
YYY: это Линукс адская с его демонами. Винда - система христианская, там иконы и службы проводятся.
Аватара пользователя
Meister
Хранитель традиций
 
Сообщения: 3450
Зарегистрирован:
04 дек 2007 22:32
Откуда: Воронеж, Минская, Лес, 4-я ёлка слева

Re: Порнобаннер, блокирующий запуск AVZ

Сообщение YoungMax » 21 май 2010 10:24

Meister
Скрипты не могут быть полезными другим тк каждый случай индивидуален :)
Если логи сделаны до чистки KIS, то тогда,думаю,с компом все нормально.
Если после,то зараза все еще есть.

ЗЫ 2й скрипт я все-таки посоветовал бы выполнить. Он фиксит проблемы с обновлением.
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00


Вернуться в Помогите!!

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1