Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Если есть доступ к списку сервисов
1. Отключить сервисы с подозрительным названием
Если есть доступ к реестру
2. Выкинуть из HKCU и HKLM\Software\Microsoft\Windows\CurrentVersion\Run подозрительные ключики.
3. Посмотреть HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\<Имя модуля виря/малвари>
4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, ключ AppInit_DLLs, стереть значение, если есть
5. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Authentication Packages, проверить каждый файл, указанный там, в отдельности

-----
IZ.RU

| Сообщение посчитали полезным:

Talula пишет:
в какую сторону копать?
Грузишься с лайв сд, где есть средства восстановления (я использовал инфру),
там есть проги для работы с реестром (если память не изменяет - RegEditPE) системы, кот на винте
дальше разберешься что и откуда грузится

| Сообщение посчитали полезным:

DenCoder пишет:
Если есть доступ к списку сервисов
Если есть доступ к реестру
вообще ни к чему нет, при попытке загрузке безопасного режима - ребут без предупреждений.

obfuskator пишет:
Грузишься с лайв сд
из лайв сд у меня только линуксы и react os...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula

Написал недавно маленькую тулзу, смысл в следующем:
Если есть доступ к дискам зараженной системы можно закинуть ее в папку Автозагрузка, после перезапуска тулза через 10 сек ищет активное окно с которым работает пользователь (это будет окно блокировщика), получает ID потока которому принадлежит окно, по ID потока получает ID процесса, далее по ID процесса получает имя процесса и записывает его в файл C:\Deblocker_Log.txt. Далее завершает процесс и поток блокировщика (в этот момент должен будет прозвучать сигнал бипером ~ 4 c). Далее создает новый рабочий стол и запускает в нем процесс Explorer.exe. Если все эти телодвижения сработают можно будет продолжить лечить зараженную систему, имя засранца должно будет известно в C:\Deblocker_Log.txt

Попробуй может поможет )
www.sharemania.ru/0177958

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint, спасибо! сейчас качну... о результатах отпишу

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
react os...
можешь попробовать отдельно запустить regedit pe под реактос
regeditpe.sourceforge.net/

| Сообщение посчитали полезным:

Кстате сейчас последняя версия Autoruns позволяет подключать реестр другой системы )

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint, не помогла твоя программка...
там короче весь реестр засран - рабочего стола нет (только обои на весь экран), панели задач нет, диспетчер заблокирован, автозагрузка отключена (только с реестра работает) и всё в таком духе...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Запуститься с LIveCD с любым редактором реестра, не катит?

| Сообщение посчитали полезным:

Talula
Когда система оффлайн возьми дефолтный реестр из папки винды и замени текущий (все настройки правда улетят) и на всякий случай замени explorer.exe копией. Ну или любой лайв сд с редактором/антивирусом.

| Сообщение посчитали полезным:

int, там столько всего наворочено %)
Alchemistry, а вот с этого момента чуть подробнее: где этот дефолтный и какой текущий менять (ол юзерс, админ или кьюрент юзер)?

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula
выбрось из головы этот способ это тоже самое что форматнуть хард и поставить систему с нуля (хотя этот вариант будет даже лучше, чем хрень с реестром)

| Сообщение посчитали полезным:

Ему всего лишь придется все переустановить при уже установленной винде, хотя не буду спорить метод хрень конечно. Бэкапы следовало делать.

Talula
Попробуй тогда какой-нибудь LiveCD от аверов, др.веб например. Там проверка автоматизирована до максимума.

| Сообщение посчитали полезным:

Alchemistry, проще вообще реестр удалить, ибо если я правильно понял. то дефолтный реестр весит 0 байт...

толку от этих аверов, если они эту хрень пропускают? бэкапы... не смеши =) много юзверей уровня "а как мне установить аську?" знают что это вообще такое? =)

ладно... пусть с виндой порщаются... в следуующий раз не будут где попало игры от алавар искать

спасибо всем за советы =)

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
знакомый подхватил очередной блокиратор: полностью чёрный экран, рамка с текстом, внизу поле и две кнопки. просит положить 400 рэ на билайновский номер - типа код на чеке будет.
На днях точно такого убирал. всего делов на 5 минут.
Твой товарищ скачал нечто: super_puper_porno_video.avi.exe, прописывается в реестр оно прям от туда, откуда запустили (кеш браузера или рабочий стол), найди поиском *avi.exe. Без редактора реестра не включить эксплорер и безопасный режим вобщем.

ключ - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\s ystem
параметр - DisableTaskMgr значение - 1 (оключает диспетчер задач)
ключ -HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр - Shell значение - полный путь к файлу зверька из того места где впервые запустили\vip_porno_24008.avi.exe (обеспечивает себе автозапуск и одновременно убивает explorer)
ключ - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
там имеется два ключа Minimal и Network, он их переименовывает добавляя в конце _ или удаляет вообще (убивается запуск в безопасном режиме)
Там ещё гдето шарится, но лень вникать было...
Лечение: Загрузиться с LiveCD и Открыть редактор реестра, выбрать например раздел HKEY_LOCAL_MACHINE, потом меню Файл\ Загрузить куст... указать путь к файлу C:\Windows\System32\config\SOFTWARE заражённой системы, обозвать как угодно, и перейти в нём на ключ - Microsoft\Windows NT\CurrentVersion\Winlogon параметр - Shell перебить на explorer.exe и Файл\ Выгрузить куст...
Перезагрузка...
Оживает система, потом в AVZ выполнить Файл\ Восстановление системы.

з.ы.
Вы маньяки ради такого винду сносить. Хотя если она очень засрана оно к лучшему.
И объясните знакомому, что видеофайлы не имеют расширения EXE и не весят 200 килобайт. (люблю таких людей, они меня кормят, особенно в пики эпидемий как в мае месяце)
До моего клиента дошло, что его пытаются наипать уже на пути к платёжному терминалу))) Какой нафиг код на чеке? Бгг...

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator, в том-то и дело, что ничего не качали... зашли на сайт какую-то алаваровскую игру скачать и после этого иакая хрень... никаких подобных файлов не видел на компе этом... но за наводку спасибо =)

з.ы. этот заплатил и даже пытался вбивать разные циферки с чека

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
зашли на сайт какую-то алаваровскую игру скачать и после этого иакая хрень...
[offtop] стопудово с какого-то "варезного" сайта пытались скачать антиалавар на высокой скорости[/offtop]
Алаваровские игры надо качать только с алавара ( или с майла, некоторые игры там можно скачать на день раньше). Ломается за минуту(вручную),смс-ключ на виндовском калькуляторе считается за 30 сек... [//offtop]

| Сообщение посчитали полезным:

Значит они не ограничиваются только порном, ещё и захватывают аудиторию любителей миниигр. Или стыдно сознаваться, что качали порн. Кстати можно попробовать позвонить в техподдержку платёжного терминала и объяснить ситуацию, могут вернуть.
Ещё идея возникла, как лечить если нет LiveCD: копируешь файл C:\Windows\System32\config\SOFTWARE заражённой системы, на своём компе его подгружаешь, редактируешь и обратно на место закидываешь.

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator, да они с женой вместе искали - какое порно? =) мне как-то с софтового сайта, через который проги покупать можно легально такая фигня пыталась пробиться - каспер заблокировал при запуске. отписывал админам сайта - кто-то тупо уязвимостью в цмс воспользовался и свой код вставил.

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Вот потому ActiveX у меня без моего разрешения не включается и сценарии Java только с доверенных сайтов работают. Тупые бары все пихают, от mail, yandex... - оключать их!!!, поскольку пишутся они на скору руку и использование их может стать плачевным.

-----
IZ.RU

| Сообщение посчитали полезным:

Словил бяку
В общем описание проблемы нашёл только тут, один в один: virusinfo.info/showthread.php?s=069eb91c4ea17a92ca1e5aa41e304cd8&t=78945
Всё то же самое, но решение смущает
"С помощью filemon и regmon вычислил файлик к которому обращались окошки при подсоединении к инету. Им оказался mgejpjdl.dll"
С помощью filemon и regmon так и ничего не отловил, а mgejpjdl.dll у меня нету, видимо название рандомное... Больше в сети ничего не нашёл по теме
иногда сервисы лезут в нет через хост agrabinski.com



Этот filtnt.sys постоянно бсодит, при попытке стереть подозрительный файл... он от Outposta вроде, но раньше работал нормально.
Вроде больше ничего подозрительного, на первый взгляд...

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Скань AVZшкой, какие проблемы.

| Сообщение посчитали полезным:

Isaev, что-то мне это zeus напоминает. Можешь выложить лог Autoruns в формате .arn с опцией "Verify code signatures"

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint в аттаче
inf1kek AVG 7.5 Portable нигде ничего не находит, новая не ставится, т.к. запискается под этой хренью и она ей не даёт при установке что-то скачать )

зы: а, AVZ! сейчас попробую

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Flint rghost.net/2303670
что с аттачами? не цепляются вообще

AVZ log: rghost.net/2305554
тоже ничего

int это логи, а не вири... просто в этой теме отключили? тогда может и правильно.

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Ну и хорошо, что не цепляются, не место вирям, даже под паролями, на этом форуме.

| Сообщение посчитали полезным:

Isaev
Не то, нужно: Файл->стандартные скрипты->скрипт сбора информации для раздела блаблабла.
будет большой лог в html, вот его и нужно.

| Сообщение посчитали полезным:

Isaev


исправь на "C:\WINDOWS\system32\userinit.exe,"



Это скорее всего и есть твоя троянская dll, приложи ее тут. На незаразной системе значение этого ключа:

msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Isaev
в логе авз подозрительные файлы
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe rundll32.exe"
C:\WINDOWS\services.exe
C:\WINDOWS\Temp\JET24A5.tmp

add. лучше лог сделать как inf1kek написал

| Сообщение посчитали полезным:

Flint пишет:
Это скорее всего и есть твоя троянская dll, приложи ее тут.
Похоже на то... Вроде перестало с вопросами доставать!

obfuskator убил
inf1kek и остальным, принимавшим участие - благодарность!

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным: