Страница 1 из 1

Порнобаннер, блокирующий запуск AVZ

СообщениеДобавлено: 21 май 2010 00:47
Meister
Симптомы:
На компьютере появляется баннер с просьбой отправить смс с текстом на определённый номер. Сообщается, что это не вирусная программа и никаких изменений в системе не делает :)
Не удаётся запустить Диспетчер задач, Редактор реестра и Редактор групповой политики.
При попытке запуска AVZ Windows автоматически завершает работу.
Альтернативные антивирусные программы (Dr Web CureIt, Hijack) не запускаются.
Запуск оболочек антивирусов блокируется правилами групповой политики.

Краткий алгоритм действий по устранению проблемы
Обязательно необходим диск с LiveCD, содержащий ERD-Commander, позволяющий редактировать реестр установленной на жёсткий диск операционной системы.
В редакторе реестра необходимо отредактировать ветки:
Код: Выделить всё
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

изменить ключ AppInit_DLLs
Код: Выделить всё
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

удалить ключи DisableTaskMgr и DisableRegistryTools
Таким образом в заражённой ОС становится возможным запуск Редактора реестра и Диспетчера задач, из которого после перезагрузки в заражённую ОС можно завершить все подозрительные процессы.
После этого появляется возможность запустить AVZ, выполнить обновление его базы, и запустить скрипты лечения и сбора информации.

Резюме:
Так как файлы отчётов всё-таки удалось сделать выкладываю их в теме.
В итоге, реанимированный KIS2010, который не имел лицензионного ключа и не обновлялся владельцем компьютера с марта месяца нашёл ещё около 63 инфицированных файлов и благополучно их удалил.

Re: Порнобаннер, блокирующий запуск AVZ

СообщениеДобавлено: 21 май 2010 09:24
YoungMax
Meister
Полиформный AVZ не пробовал запустить?
Для начала коды раблокировки не вводил?

Выполнить:(компьютер перезагрузится)
Код: Выделить всё
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp1C87.tmp','');
QuarantineFile('vgasys.fon','');
QuarantineFile('vgaoem.fon','');
QuarantineFile('vgafix.fon','');
QuarantineFile('logon.scr','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
QuarantineFile('C:\WINDOWS\system32\62ccebd0.exe','');
QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_iastor.sys','');
QuarantineFile('C:\WINDOWS\system32\CRYPTUI.dll','');
QuarantineFile('C:\WINDOWS\system32\hspe.uvo','');
DeleteFile('C:\WINDOWS\system32\hspe.uvo');
DeleteFile('C:\WINDOWS\system32\CRYPTUI.dll');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\dump_iastor.sys');
DeleteFile('C:\WINDOWS\System32\tssdis.exe');
DeleteFile('C:\WINDOWS\system32\62ccebd0.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir','EventMessageFile');
DeleteFile('C:\WINDOWS\system32\psxss.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System','EventMessageFile');
DeleteFile('logon.scr');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Control Panel\Desktop','scrnsave.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Control Panel\Desktop','scrnsave.exe');
DeleteFile('vgafix.fon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','fixedfon.fon');
DeleteFile('vgaoem.fon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','oemfonts.fon');
DeleteFile('vgasys.fon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','fonts.fon');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp1C87.tmp');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(12);
ExecuteRepair(13);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.


После перезагрузки выполнить скрипт:
Код: Выделить всё
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
    if j=0 then
        NumStr:='CurrentControlSet' else
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

Re: Порнобаннер, блокирующий запуск AVZ

СообщениеДобавлено: 21 май 2010 10:11
Meister
-=YoungMax=- писал(а):Полиформный AVZ не пробовал запустить?

Не запускался. Да, кстати, переименование папки с AVZ и exe-файла AVZ не помогло: Windows не завершал работу, однако, сам AVZ вылетал через секунду после запуска.
-=YoungMax=- писал(а):Для начала коды раблокировки не вводил?

Баннер мигал и не давал ничего ввести в окно кода разблокировки.

-=YoungMax=- писал(а):Выполнить:(компьютер перезагрузится)

Уже ничего выполнять не нужно. Я же написал как решил эту проблему и чем всё закончилось. Тема носит познавательный характер. Логи AVZ опубликованы по просьбе Diesel. Вся информация, в том числе и твои скрипты, могут быть полезны другим.

Re: Порнобаннер, блокирующий запуск AVZ

СообщениеДобавлено: 21 май 2010 10:24
YoungMax
Meister
Скрипты не могут быть полезными другим тк каждый случай индивидуален :)
Если логи сделаны до чистки KIS, то тогда,думаю,с компом все нормально.
Если после,то зараза все еще есть.

ЗЫ 2й скрипт я все-таки посоветовал бы выполнить. Он фиксит проблемы с обновлением.