The ICE Cyber Crime Center

[polsno]

Підхопив отаку заразу. Залізла падлюка в автозавантаження й не дає нічого зробити (в безпечний режим тоже не пускає). Може хтось мав справу з таким, і може порадити чим почистити, щоб по тому система зосталась дієздатною (тобто завантажувалась).

[Factory]

Привіт,

1 диспетчер задач шукаєш процес, на ньому права клавіша знайти файл на диску

2 запускаєшся з любого live cd і видаляєш

Хоча є консольна команда яка видаляє процес і файли процеса з диска але неможу пригадати ту команду

Попробуй і відпишись

[Zheny@]

Залізла падлюка в автозавантаження й не дає нічого зробити (в безпечний режим тоже не пускає).

Точно з таким ні. Але локер є локер. І боротьба із ним однакова.

Грузишся з будь-якого Live-CD. Чистиш реєстр. Видаляєш з автозавантаження і знаходиш сам файл, який грузиться.

Можна спробувати "Загрузка последней удачной конфигурации".

[polsno]

Грузишся з будь-якого Live-CD. Чистиш реєстр. Видаляєш з автозавантаження і знаходиш сам файл, який грузиться.

А як відкрити гілку HKEY_CURRENT_USER (в який файл вона записана)? Подивився:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - в userinit й shell нічого зайвого.

HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\ - була лишня гілка, видалив.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - чисто.

В атозавантаженнях тоже видалив усе підозріле, але поки що нічого не змінилось, так само блокує зразу по привітанню.

[Factory]

Прожени куреітом dr web з live cd

Ше може бути шо вірус сидить в загрузчику, то просто запустись з установочного диска і попробуй відновити запуск або віднови останню вдалу загрузку вінди

[Zheny@]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - в userinit й shell нічого зайвого.

HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\ - була лишня гілка, видалив. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - чисто.

Не там дивишся

1) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - як правило тут вказується ЩО потрібно запускати.

2) HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - так само

3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

5) потрібно просто пошукати за той день, коли сталася халепа, усі скачані файли типу *.exe / *.com . Як правило можуть сидіти у TMP чи TEMP. Або ж у корні папки WIndows / Windows32

знайти файли і грохнути. Файли будуть мати вигляд utyiotewouyoew.exe ну, або ж як було неодноразово у кількох клієнтів porno-movie-sex.exe.

Або, можна скористатися цією ссилкою. Якщо агліцкій не підводить. Хоча там тільки посилання важливі.

Ось уривок лога, де шукалися гадості. Саме цікаве буде жирним виделено.

HKLM\...\Run: [CanonSolutionMenu] C:\Program Files (x86)\Canon\SolutionMenu\CNSLMAIN.exe /logon [644696 2007-05-14] (CANON INC.)

HKLM\...\Run: [safePCRepair Home Page Guard 64 bit] "C:\PROGRA~2\SAFEPC~2\bar\1.bin\AppIntegrator64.exe" [548936 2013-06-18] ()

HKLM-x32\...\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntry [x]

HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)

HKLM-x32\...\Run: [sSBkgdUpdate] "C:\Program Files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot [210472 2006-10-25] (Nuance Communications, Inc.)

HKLM-x32\...\Run: [OpwareSE4] "C:\Program Files (x86)\ScanSoft\OmniPageSE4\OpwareSE4.exe" [79400 2007-02-04] (Nuance Communications, Inc.)

HKLM-x32\...\Run: [ArcSoft Connection Service] C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe [207424 2010-10-27] (ArcSoft Inc.)

HKLM-x32\...\Run: [VolPanel] "C:\Program Files (x86)\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r [180224 2007-02-28] (Creative Technology Ltd)

HKLM-x32\...\Run: [bCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices [91520 2010-03-13] (Microsoft Corporation)

HKLM-x32\...\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59720 2013-01-28] (Apple Inc.)

HKLM-x32\...\Run: [safePCRepair Search Scope Monitor] "C:\PROGRA~2\SAFEPC~2\bar\1.bin\89srchmn.exe" /m=2 /w /h [44784 2013-06-18] (MindSpark)

HKLM-x32\...\Run: [safePCRepair_89 Browser Plugin Loader] C:\PROGRA~2\SAFEPC~2\bar\1.bin\89brmon.exe [30096 2013-06-18] (VER_COMPANY_NAME)

HKU\Guest\...\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [x]

HKU\Morris the Cat.Robert-PC\...\Run: [MtdAcqu] "C:\Program Files (x86)\Creative\MediaSource5\MtdAcqu.exe" /s [278528 2009-04-29] (Creative Technology Ltd)

HKU\Morris the Cat.Robert-PC\...\Run: [OfficeSyncProcess] "C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE" [719672 2012-01-20] (Microsoft Corporation)

HKU\Morris the Cat.Robert-PC\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\MORRIS~1.ROB\AppData\Local\Temp\VZFhSMY.exe [57856 2013-06-18] (Mozilla Foundation)

HKU\Morris the Cat.Robert-PC\...\Winlogon: [shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION

HKU\Morris the Cat.Robert-PC\...\Command Processor: "C:\Users\MORRIS~1.ROB\AppData\Local\Temp\VZFhSMY.exe" <===== ATTENTION!

HKU\Valerie\...\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [x]

HKU\Valerie\...\Run: [Creative MediaSource Go] "C:\Program Files (x86)\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB [204800 2006-11-09] (Creative Technology Ltd)

Startup: C:\ProgramData\Start Menu\Programs\Startup\Exif Launcher S.lnk

ShortcutTarget: Exif Launcher S.lnk -> C:\Program Files\FinePixViewerS\QuickDCF2.exe (FUJIFILM Corporation)

Startup: C:\ProgramData\Start Menu\Programs\Startup\SanDisk Media Manager.lnk

ShortcutTarget: SanDisk Media Manager.lnk -> (No File)

Startup: C:\Users\Morris the Cat.Robert-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled ()

Startup: C:\Users\Valerie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Screen Clipper and Launcher.lnk

ShortcutTarget: OneNote 2010 Screen Clipper and Launcher.lnk -> C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)

Нормальні проги із Темпа не стартують

[sanbOK]

На троха проблема з локерами пропала і тут на тобі знову вилізла

[polsno]

Отже де було:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Winmgmt\Parameters\ServiceDll - очевидно, це й блокувало безпечний режим.

HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\

Ярлик в C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup зі значенням C:\Windows\System32\rundll32.exe C:\PROGRA~2\bqv7j1.jss,CCZ0.

Сама зараза сиділа в C:\ProgramData під назвою bqv7j1.ххх

1) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - як правило тут вказується ЩО потрібно запускати.

2) HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - так само

Так все таки, як відкрити гілку HKEY_CURRENT_USER неактивного користувача (тобто який файл брати)?

[Zheny@]

Так все таки, як відкрити гілку HKEY_CURRENT_USER неактивного користувача (тобто який файл брати)?

Live-CD і бажано щось із набором ERD-Commaner. Набір корисних утиліт.

1) Утилітка запитається ДЕ лежить вінда. Вказати каталог.

2) Далі можна ритися у реєстрах як ніби то жива вінда робоча. Є всі гілки.

[polsno]

Live-CD і бажано щось із набором ERD-Commaner. Набір корисних утиліт.

1) Утилітка запитається ДЕ лежить вінда. Вказати каталог.

ну відкрив RD Commander 2005 Registry Editor, в меню File є тільки Import файлу з розширенням reg.