-
Junior Member
- Вес репутации
- 50
блокирующее окно
Здравствуйте !
К нам попал вирус, очень похожий на Trojan.Winlock. Т.е. сразу после входа в "Windows XP" полностью
блокируется управление и появляется окно: на черном фоне надпись:
---
"Внимание"
Вы просматривали гейское порно в течение трех часов. Время бесплатного
просмотра истекло. Для того, чтобы оплатить услугу, Вам необходимо
пополнить счет абонента Билайн 9645220671 на сумму 400 руб.
После оплаты на квитанции Вы найдете код активации. Введите
его в поле и нажмите <Enter>.
----
Cнимок экрана сделать не получается.
Буквы в окне белые и красные на черном фоне.
В правом нижнем углу порно изображение.
Номер телефона, на который вымогатель просит выслать 400 р.,
все время разный (при каждой новой загрузке Windows).
После ~5 минут окно пропадает, и управление восстанавливается, но
в IE ряд страниц работают некорректно.
Я пробовал ряд паролей, ни один не подошел.
Также я проверил все несколькими сканнерами.
Они ничего не выявили. Сейчас я все проделал по
Вашей инструкции.
За компьютером работает молодая девушка.
Помогите пожалуйста !
С уважением, Максим
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\Documents and Settings\Dasha0093\wlock\wlock.exe','');
QuarantineFile('C:\systemhost.exe\systemhost.exe','');
DeleteFile('C:\systemhost.exe\systemhost.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','systemhost.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','systemhost.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','systemhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','systemhost.exe');
DeleteFile('C:\Documents and Settings\Dasha0093\wlock\wlock.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Спасибо
Выглядит все нормально блокирующее
окно выглядит нормально, хотя в логах
вроде есть вирусы.
Последний раз редактировалось thyrex; 07.11.2010 в 22:02.
-
- quarantine.zip - удалите из темы
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Добавлено через 3 минуты
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{01398b87-61af-4ffb-9ab5-1a1c5fb39a9c} (Adware.WidgiToolbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398b87-61af-4ffb-9ab5-1a1c5fb39a9c} (Adware.WidgiToolbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398b87-61af-4ffb-9ab5-1a1c5fb39a9c} (Adware.WidgiToolbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398b87-61af-4ffb-9ab5-1a1c5fb39a9c} (Adware.WidgiToolbar) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{01398b87-61af-4ffb-9ab5-1a1c5fb39a9c} (Adware.WidgiToolbar) -> No action taken.
Зараженные папки:
C:\Systemhost.exe (Trojan.SpyEyes) -> No action taken.
Зараженные файлы:
C:\Systemhost.exe\config.bin (Trojan.SpyEyes) -> No action taken.
C:\WINDOWS\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
-Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
Последний раз редактировалось polword; 07.11.2010 в 21:52.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 50
Когда пытаюсь загрузить файл "quarantine.zip"
выдаётся сообщение: файл уже добавлен.
-
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
Logs
Вроде все в порядке.
Высылаю логи.
Большое спасибо.
Максим
-
Обновите систему
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- поставте Adobe Reader 9.4 или удалите старый.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\dasha0093\\wlock\\wlock.exe - Trojan-Ransom.Win32.Agent.nw ( DrWEB: Trojan.Winlock.2482, BitDefender: Trojan.Generic.5055290, AVAST4: Win32:Malware-gen )
-