Здравствуйте, уважаемые эксперты!
Не знаю, в ту ли ветку форума задаю вопрос, пусть в этом разберутся модераторы. Проблема же у меня следующая.
Мне принесли нетбук, заражённый Winlock’ом. После загрузки Windows на рабочем столе появлялся чёрный экран со следующей надписью:
«Ваша операционная система заблокирована за нарушение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Хранение видеофайлов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранения возможности распространения данных материалов с Вашего ПК в сети Интернет.
Для разблокировки операционной системы Вам необходимо:
Пополнить счёт абонента БИЛАЙН № 89035705919 на сумму 360 рублей. После оплаты на выданном терминалом чеке оплаты, Вы найдёте код, который необходимо внести в поле, расположенное ниже.
По завершению оплаты, на выданном чеке оплаты Вам будет выдан код разблокировки который необходимо ввести в форму расположенную ниже. После разблокировки системы Вам необходимо удалить все незаконно размещённые материалы на Вашем ПК.
В случае отказа от оплаты, все данные на Вашем ПК, включая bios, Windows будут безвозвратно уничтожены в связи с угрозой Вашего ПК пользователям сети Интернет».
Причём этот экран появлялся под всеми учётными записями, а всего на нетбуке их пять, и все с правами администратора. Учётная запись гостя отключена. При попытке загрузиться в безопасном режиме, машина уходила в перезагрузку, даже не доходя до экрана приветствия. В моей практике я сталкивался с Winlock’ом, но он был только под одной из учётных записей, и, зайдя из-под другой, и запустив CureIt, я от него избавился.
Первое, что я предпринял, это скачал Dr. Web LiveCD, а так как это нетбук, и привода CDROM в нём нет, я на своём компьютере попытался сделать загрузочный USB-флэшнакопитель, но он у меня не получился. Вроде бы компьютер написал, что флэшка готова, но после того, как я вставил её в нетбук, он написал мне, что операционная система не найдена («Operating system not found»).
Далее я посетил сайт лаборатории Касперского, и, введя там номер телефона из вышеуказанного текста, я получил целый список кодов для разблокирования операционной системы. Подошёл первый же код из списка (+9999999), после чего была проведена полная проверка компьютера утилитой CureIt в обычном режиме работы компьютера. Во время быстрой проверки по умолчанию, утилита поймала Trojan.Siggen1.34639 во временном файле с расширением *.tmp. Так же во время полной проверки утилита выловила срипт Store.Global[1].js, и в статусе написала, что это «возможно SCRIPT.Virus. Ещё в процессе проверки она выдала информацию о модифицированном файле HOSTS, и предложила восстановить этот файл в исходное состояние, что я и сделал. Кстати после закрытия CureIt, появилось окно с завершением работы зависшей программы ccSvcHst. Проверка компьютера была проведена только из-под одной из учётных записей, но так как они все с правами администратора, я решил, что этого будет достаточно.
Я хотел после этого проверить систему утилитой CureIt в безопасном режиме, но, как выяснилось, при загрузке в нём машина по-прежнему уходит в перезагрузку. Отключив её в свойствах системы, я выловил «синий экран»: 0x0000007B (0xF7B00524, 0xC0000034, 0x00000000, 0x00000000). Программа BlueScreenView дампов памяти не обнаруживает. В обычном же режиме машина грузится нормально под всеми пятью учётными записями.
Я написал запрос о помощи на сайт virusnet.info, после чего ребята написали мне несколько скриптов, которые я выполнил, после чего в моем вопросе появилась пометка, что проблема решена, но нетбук по-прежнему вылетает в BSOD при попытке загрузиться в безопасном режиме, но уже с другой ошибкой: 0x0000007E (0xC0000005, 0xF7816211, 0xF7B3C720, 0xF7B3C41C), а это уже проблема с драйверами или оборудованием. В «Диспетчере устройств» всё нормально, никаких жёлтых или красных восклицательных знаков нет. BlueScreenView по-прежнему дампов памяти не обнаруживает, правда в «Свойствах системы» в поле «Запись отладочной информации» окна «Загрузки и восстановления системы» выставлено значение «Малый дамп памяти (64 кБ)». Нужно ли его поменять? В обычном же режиме машина по-прежнему грузится нормально под всеми пятью учётными записями.
И вот ещё что. В «Настройке системы» есть несколько неизвестных мне файлов. Первой идёт пустая строка, где указано только расположение команды в системном реестре: HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run. Далее идут команды PLFSetL (расположение C:\Windows\PLFSetL.exe), snuvcdsm (расположение C:\Windows\snuvcdsm.exe) и csnp2uvc (rundll.exe C:\Windows\system32\csnp2uvc.dll ResetCIDS). Расположение всех четырёх команд в системном реестре одинаковое. Если хотите, могу заархивировать эти файлы, и выслать их для анализа, только подскажите, как это сделать наиболее безопасно.
Можно ли как-нибудь вернуть полную работоспособность машины?
Нетбук Acer eMachines eM250, номер модели KAV60. Операционная система Windows XP Home Edition SP3. Обновление операционной системы работает в автоматическом режиме. На нетбуке стоял просроченный Norton Internet Security 2009, версия 16.8.0.41 (пробная 60-дневная версия, на которую не продлена подписка, как я понял). После того, как я сказал об этом хозяину нетбука, он купил коробку Kaspersky AntiVirus 2011, который я и поставил на нетбук с флэшки из образа, который был создан в программе Alcohol 52% Free Edition, предварительно, конечно же, удалив Norton Internet Security.
У меня сохранились логи программ RSIT, OTM, AVZ, так что если нужно, могу прислать. Ещё, как я понимаю, нужен лог Autoruns, напомните только, как его сделать.
Если нужна ещё какая-нибудь информация, пишите.