Решена trojan.mbrlock Injector.LHH

Статус
В этой теме нельзя размещать новые ответы.

VitacBlack

Новый пользователь
Сообщения
16
Реакции
3
Вирус требует деньги в национальной валюте Казахстана.
TDSSKiller удалил 1 файл, FixMBR не помогает, в реестре параметр Shell снова перезаписывается на C:\Documents and Settings\All Users\Application Data\ 22CC6C32.exe.
Файл с расширением .dta и с паролем virus имеется. Прошу помощи в разблокировке.
 
Выполните скрипт в uVS:

Код:
;uVS v3.73 script [http://dsrt.dyndns.org]

addsgn 4A7867DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3F94F7CA68C953E5B09391B82CA421F45AB74B7553A310DDA537D0D24FC 8 
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
chklst
delvir
rf %Sys32%\USERINIT.EXE
regt 12
czoo

После выполнения скрипта зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта (например:2011-06-30_22-04-27.7z) если архив отсутствует, то заархивруйте папку ZOO с паролем virus. И отправьте на адрес quarantine<at>safezone.cc(at=@) в заголовке (теме) письма укажите ссылку на тему где вам оказывается помощь.
 
Severnyj, скрипт не выполняется, сообщает об ошибке или о невозможности выполнения.
Тело вируса 22CC6C32.EXE в запароленном архиве могу выслать отдельно.
 
Последнее редактирование:
Скрипт проверил, выполняется. Проверьте правильность копирования текста скрипта в буфер обмена. К тому же в вашей сборке LiveCD uvs устарела создайте свою или скачайте нашу сборку

Если не получится выполнить скрипт тогда, меняйте значения параметра Shell снова вручную и заменяйте файл USERINIT.EXE в директории system32 на оригинальный с дистрибутива.

Затем загрузка системы должна пройти без проблем.
 
Severnyj, всё сделал. Вирус загружается. Файл отправил на указанный адрес с указанным паролем.
 
Блокировщик все равно активен?
 
Да активен. Не могу отправить файл на указанный адрес. Может отправить в личку?
 
Выклыдывайте на файлообменник, ссылку в личку.

Все-таки попытайтесь скачать наш LiveCD и сделать логи uVS из-под него, поскольку на Вашем uVS аж 3.46 версии - может не поддерживать команды скриптов из новых версий.

SafeZone Live CD
Как сделать загрузочную флешку
WinPE UVS на форуме ESET (мини-сборка)
 
Вопросы тогда
Из-под нашего скрипт все равно не выполнялся?
Как выполняете скрипт? Нужно скопировать текст скрипта затем в uvs, запущенной с выбором системы, например C:\Windows Выберите меню "Скрипт" => Выполнить скрипт находящийся в буфере обмена..."

Cделайте новые логи uVS с нашего или ESETовского Live
 
Сейчас погляжу

Добавлено через 11 минут 0 секунд
Выполните скрипт в uVS

Код:
;uVS v3.73 script [http://dsrt.dyndns.org]

; C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
addsgn 4A7867DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3F94F7CA68C953E5B09391B82CA421F45AB74B7553A310DDA537D0D24FC 8 

; C:\WINDOWS\SYSTEM32\TASKMGR.EXE
rf %Sys32%\USERINIT.EXE
chklst
delvir
rf %Sys32%\TASKMGR.EXE
czoo
regt 1
regt 2
regt 5
regt 12
regt 23
deltmp
delnfr
 
Новый лог
 

Вложения

  • DELUX_2011-12-12_00-55-19.7z
    110.7 KB · Просмотры: 2
Этих вирусов не видно. А что с проблемой ?
 
Операционная система загрузилась без вируса.
Приклепляю логи.
 

Вложения

  • log.txt
    14.3 KB · Просмотры: 1
  • info.txt
    9.6 KB · Просмотры: 0
  • virusinfo_syscure.zip
    17.2 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    15.5 KB · Просмотры: 0
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу