Здравствуйте!
05.04.09 при нахождении в интернете вдруг вышло сообщение на весь экран: Внимание! Ваш компьютер заблокирован!
Для разблокировки Вам необходимо Отаправить на Номер **** SMS "exeunlock".
При перезагрузке после набора пароля пользователя выходит данная заставка.
На компьютере установлены Win XP (SP3) и Win Vista. При загрузке в безопасном режиме загружается Vista.
Помогите вылечить раздел XP без форматирования если это возможно!

Владимир.

Заставка на весь экран? Доступ к панели задач, кнопке Пуск есть?

Нет, ни к чему доступа нет!

Vista грузится. Возможнот ли через нее что-либо призвести.

garik404, Проверьте все диски с помощью cureit, AVPtool и МВАМ (http://malwarebytes.gt500.org/mbam-setup.exe), загрузившись в Vista, попробуйте сделать логи по правилам в WinXP (хотя бы в безопасном режиме)

У меня стоит Kas. In. Sec. 7.0 - возможно с его помощью обнаружить данную проблему?

Вряд ли. Он же зловреда пропустил на компьютер.
Выполняйте совет Pili

garik404, загрузитесь в безопасном режиме с поддержкой командной строки и попробуйте выполнить команду explorer.exe - Проводник/Рабочий стол. Также можно попробовать taskmgr.exe - Диспетчер Задач Windows. Также можно запустить утилиту AVZ/HijackThis, введя путь к ней и нажав ENTER.

Только что поймал тоже самое, стоит Win XP SP3, в безопасном режиме вообще не грузиться, восстановление при загрузке от Acronis'а не помогло, т.к. сразу грузиться система (надпись Acronis'а не появляется). Выкрутился с помощью Boot Disk'а с Арконисом :-)

лько что поймал тоже самое, стоит Win XP SP3, в безопасном режиме вообще не грузиться, восстановление при загрузке от Acronis'а не помогло, т.к. сразу грузиться система (надпись Acronis'а не появляется). Выкрутился с помощью Boot Disk'а с Арконисом :-) »

Можно подробней объяснить процесс лечения и ссылку на Boot Disk с Арконисом. garik404

garik404,
Если Вы не создавали резервный образ системного раздела, то этот способ Вам бесполезен, как и сообщение virbus.
Вам нужно воспользоваться этим (http://forum.oszone.net/post-1085523-4.html) советом, проверив из под Висты.

Можно подробней объяснить процесс лечения и ссылку на Boot Disk с Арконисом. garik404 »
Режим отладки (Debugging Mode) не загружается?

Попробуйте поискать на диске с XP файл svhgost.exe (именно так!) и удалить.

Профессионалы, скажите: регедит Висты подключит ветки реестра XP?

Можно подробней объяснить процесс лечения и ссылку на Boot Disk с Арконисом. garik404 »

Лечением это не назовешь - это восстановление, давно практикую после установки системы делать резервный образ, спасало много раз.
Использовал этот диск
Ссылка на варез удалена. Предупреждение, ещё раз попробуете - будет бан.
он содержит:
- Установка Windows XP в автоматическом режиме
- Установка Windows XP в ручном режиме + восстановление
- Hiren's Boot CD 9.7 RUS от lexapass
- WindowsPE full CD Edition (codename "SunBear") от XaseR
- Загрузка с ошибкой NTLDR is missing
- Windows Key Enterprise Edition 8.0 build 2596

garik404, скачай Dr.Web LiveCD:
http://www.freedrweb.com/livecd
запиши на CD диск и запустись с него, проверишь весь жёсткий диск, даже если винда не грузится ;)

garik404, скачай Dr.Web LiveCD:
http://www.freedrweb.com/livecd
запиши на CD диск и запустись с него, проверишь весь жёсткий диск, даже если винда не грузится »

LiveCD не запускается т.к. он сформирован на Linuxe, а он не воспринимает видимо все железо компа.

garik404, Варианты:
Подключите винчестер к другому компьютеру и проверьте различными антивирусами (напр. cureit, МВАМ и др. - см. в подписи). Сделайте загрузочный CD (WinPE, BartPE и пр.) и проверьте cureit (можно предварительно распаковать например на флешку и запустить _start.exe)
Дополнительно
KAV RescueDisk (http://downloads.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso)
Avira Antivir RescueCD (http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe)
Можете подключить реестр как куст или воспользоваться ERD Commander (http://www.windowsfaq.ru/content/view/659/92/) и посмотреть ветки реестра
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Рекомендую ознакомиться с описанием Viruslist.com - Trojan.Win32.Krotten.l (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=94476)
И Если что-то отключено — wiki.drweb.com (http://wiki.drweb.com/index.php/%D0%95%D1%81%D0%BB%D0%B8_%D1%87%D1%82%D0%BE-%D1%82%D0%BE_%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%BE...) - Если не запускаются программы.

Pili, ну не факт, что это кроттен, однако посоветую тут HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run »
удалить "Ekzabc" - это элемент вируса подобного типа.
Еще забыли: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр Shell должен быть равен explorer.exe и ничего после, если будет что-то иное, ставим explorer.exe.

Итак, правка реестра:
1. Запустите regedit.exe Vista
http://clip2net.com/clip/m0/1239272144-clip-3kb.png
Это можно сделать, нажав http://en.ecomstation.ru/projects/crc/pics/WinKey.jpg и R вместе и введя regedit.exe.
2. Щелкните http://clip2net.com/clip/m0/1239272219-clip-461b.png
3. В меню выберите Файл => Загрузить куст. Укажите файл \windows\system32\config\software на диске XP.
4. http://clip2net.com/clip/m0/1239272273-clip-2kb.png
Введите TEST.
5. Перейдите к HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon
6. Дважды нажмите на Shell.
7. Введите explorer.exe
8. Кликните ОК
9. Перейдите к HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows\CurrentVersion\Run
10. Удалите ekzabc
11. Щелкните TEST
12. Выберите файл, Выгрузить куст

Подключите винчестер к другому компьютеру и проверьте различными антивирусами (напр. cureit, МВАМ и др. - см. в подписи). Сделайте загрузочный CD (WinPE, BartPE и пр.) и проверьте cureit (можно предварительно распаковать например на флешку и запустить _start.exe) »

Curiet проверил - ничего не нашел.
Запустил AVZ и как указано на форуме по правилам провел проверку. Нашел трояны на Viste и XP, но действующую проблему не решил.
Прикрепляю протоколы проверок.
На С - Vista, D - XP.

http://forum.oszone.net/attachment.php?attachmentid=24584&stc=1&d=1239282315

hijackthis.rar (2.4 Kb) »
virusinfo_cure.zip (8.2 Kb) »
virusinfo_syscheck.zip (42.8 Kb) »
virusinfo_syscure.zip (40.3 Kb) »

garik404, Логи делались в Vista, проблема у вас возникает в этой ОС? Скриптом ниже чистм только то, что в Vista, AskTBar - деинсталлируйте через установку/удаление программ.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Alta\SSTART.EXE','');
QuarantineFile('C:\Program Files (x86)\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL','');
DeleteFile('C:\Program Files (x86)\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL');
DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files (x86)\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files (x86)\AskTBar\bar\1.bin\ASKTBAR.DLL

Очень странная версия ОС, многие файлы не прошли проверку по базе безопасных.
Если проблема возникает в Vista, можете пополнить базу чистых файлов AVZ (http://www.z-oleg.com/secur/news/news1347.php), дождаться рез-та анализа CyberHelper`ом архива, далее через некоторое время обновить базы AVZ и сделать новый лог virusinfo_syscheck.zip, 2-ой стандартный скрипт AVZ
Выложите также результаты проверки архива безопасных, дополнительно см. здесь (http://virusinfo.info/showthread.php?t=3519)

Если проблема возникает в Windows XP - загрузитесь в Windows XP и сделайте логи по правилам, если в Windows XP загрузится не получается, см. пост 15
Дополнительно, если будет редактировать реестр Windows XP из под Vista (или с CD), кроме веток реестра из 15 и 16 поста, посмотрите ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
И выставьте там значения, отключающие Software Restriction Policies "DefaultLevel"=dword:00040000 и "PolicyScope"=dword:00000001

Если проблема возникает в Windows XP - загрузитесь в Windows XP и сделайте логи по правилам, если в Windows XP загрузится не получается, см. пост 15
Дополнительно, если будет редактировать реестр Windows XP из под Vista (или с CD), кроме веток реестра из 15 и 16 поста, посмотрите ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
И выставьте там значения, отключающие Software Restriction Policies "DefaultLevel"=dword:00040000 и "PolicyScope"=dword:00000001 »
По первому посту - проблема в XP.
Pili, А за что эта ветка реестра отвечает?