Jump to content
Sign in to follow this  
salex3

Комп заражен буткитлокером

Recommended Posts

Такая проблема.

 

При загрузке компьютера, выдается сообщение, что комп заражен bootkitlocker.gen32 и просят денег (только не на смс, а на счет)

 

Это происходит до загрузки винды - т.е. сейф мод и т.п. не доступно.

 

Попробовал воспользоваться Kaspersky Rescue Disk 10, но он при проверке ничего не находит. (при этом, создается впечатление, что Rescue Disk не видит жесткий диск)

 

Можете что нибудь посоветовать?

Заранее спасибо.

Edited by salex3

Share this post


Link to post
Ссылку на свои логи пришлите мне в личные сообщения

 

Не получается загрузить компьютер с Alkid Live CD. Выдает стандартный синий экран с ошибкой. Тоже самое происходит при попытке загрузки установочного диска WinXp.

 

А Kaspersky Rescue Disk 10 загружается.

 

Скажите, запишет ли TDSSkiller логи при запуске из Rescue Disk 10?

Share this post


Link to post

Сдаётся мне, что нет. Он просто не запустится. TDSSkiller - это программа под windows. А KRD основан на линуксе.

Share this post


Link to post
Сдаётся мне, что нет. Он просто не запустится. TDSSkiller - это программа под windows. А KRD основан на линуксе.

 

Еще по идее можно попробовать записать другой live CD (предыдущий был Alkid Live CD&USB (11.05.2011)) и попробовать с него запуститься.

 

Можете еще какой нибудь посоветовать ?

Share this post


Link to post

Отправил утилиту Вам в личные сообщения. Просьба не пересылать ее другим пользователям, т.к. код и механизм блокировщика может быть совершенно иным

 

1. Запишите утилиту на флешку

2. Загрузитесь с Live CD

3. Запустите утилиту, перезагрузитесь

 

Сообщите результат

Share this post


Link to post
Отправил утилиту Вам в личные сообщения. Просьба не пересылать ее другим пользователям, т.к. код и механизм блокировщика может быть совершенно иным

 

1. Запишите утилиту на флешку

2. Загрузитесь с Live CD

3. Запустите утилиту, перезагрузитесь

 

Сообщите результат

 

Вроде помогло.

 

Огромное спасибо!

Share this post


Link to post

Логи уже можно не упаковывать с паролем

 

Удалите в МВАМ всё найденное

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\НИКОЛА\Главное меню\Программы\Автозагрузка\2rv1um2thco.exe','');
QuarantineFile('C:\Documents and Settings\All Users\remotectf.exe','');
QuarantineFile('C:\Documents and Settings\НИКОЛА\Application Data\balanceriso.exe','');
QuarantineFile('C:\WINDOWS\system32\AngobzurGubz.dll','');
QuarantineFile('C:\WINDOWS\system32\iacenc.dll','');
DeleteFile('C:\Documents and Settings\НИКОЛА\Главное меню\Программы\Автозагрузка\2rv1um2thco.exe');
DeleteFileMask('C:\Documents and Settings\НИКОЛА\Application Data\Ybhi', '*.*', true);
DeleteDirectory('C:\Documents and Settings\НИКОЛА\Application Data\Ybhi');
DeleteFileMask('C:\Documents and Settings\НИКОЛА\Application Data\Duonw', '*.*', true);
DeleteDirectory('C:\Documents and Settings\НИКОЛА\Application Data\Duonw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Кроме того, попрошу Вас также выложить c:\quarantine.zip на обменник и прислать ссылку мне в личные сообщения

 

Сделайте новые логи МВАМ и RSIT

 

Share this post


Link to post

В карантин ничего не попало практически

 

C:\Documents and Settings\All Users\remotectf.exe

C:\Documents and Settings\НИКОЛА\Application Data\balanceriso.exe

C:\WINDOWS\system32\AngobzurGubz.dll

Проверьте указанные файл на virustotal.com

Пришлите ссылки на результаты исследования

Share this post


Link to post

Пофиксите в HiJack

O1 - Hosts: 87.229.126.58 www.google.com
O1 - Hosts: 87.229.126.59 www.bing.com

 

Выполните скрипт в AVZ

begin
RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Больше ничего необычного

 

Смените все пароли

Edited by thyrex

Share this post


Link to post
Sign in to follow this  

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.