-
Junior Member
- Вес репутации
- 53
Вирус, требовавший оплаты по смс за просмотр видео
У меня в домашней сети находятся два компьютера, доступ к интернету осуществляется с основного, на второй комп доступ идёт через основной компьютер. На второй компьютер была закачана и запущена вредоносная программа, после которой поверх всего на экране висело сообщение с требованием отправить оплату за просмотр видео и угрозой, что в случае отказа от оплаты возможно причинение вреда компьютеру. Пока висело это окно, сеть не работала и диспетчер файлов при запуске выдавал сообщение "диспетчер файлов закрыт администратором" Через какое-то время окно исчезло без каких-либо действий с моей стороны, работа сети восстановилась, диспетчер программ запускается. Однако Opera и программа Filezilla не работают, при попытке коннекта сразу выдаются сообщения "программа прекратила работу из-за ошибки". Другие браузеры работают, но постоянно всплывает окно файрволла о том, что "компонент c:\documents and settings\main\cookies\userlib.dll изменился", то же самое при запуске большинства сетевых программ. Кроме того, на основном компьютере файрволл постоянно блокирует доступ в интернет, регистрируя атаку со стороны IP, которые являются DNS провайдера интернета. Т.е. работа в сети очень затруднена. Проверил антивирусом Avast, также утилитой AVTool, вирусов выявлено не было.
Прилагаю требуемые файлы
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelSPIByFileName('C:\Documents and Settings\Администратор\Cookies\userlib.dll', false);
QuarantineFile('C:\games\heroes\Games\CheMaxRus\The Ultimate DooM\DLaunch.exe','');
QuarantineFile('C:\Documents and Settings\Main\Cookies\userlib.dll','');
DeleteFile('C:\Documents and Settings\Main\Cookies\userlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Main\Cookies\userlib.dll','');
DeleteFile('C:\Documents and Settings\Main\Cookies\userlib.dll');
DeleteFileMask('%Tmp%','*.*',true);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Venus Doom
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт
....
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
Сделайте новые логи
выполнил этот последний скрипт, в результате AVZ не завершил свою работу, последняя запись в диалоговом его окне - "для удаления файла userlib.dll необходимо перезагрузить компьютер
удаление файла C:\Documents and Settings\Main\..... \Temp\*.* "
программа не отвечала, файл quarantine.zip не создался. Я перезагрузил вручную, завершив в том числе неотвечающий AVZ. После этого на этом компьютере не выходят в сеть все программы, антивирус Avast пишет ошибку 101106, такую же ошибку выдаёт Filezilla, у браузеров также нет соединения, пишу сейчас с основного компьютера. Снова запустил стандартные скрипты, высылаю логи
-
Восстановление не успело отработать
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Main\Cookies\userlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
-
-
Junior Member
- Вес репутации
- 53
после выполнения скрипта комп перезагрузился, но браузеры и сетевые программы так сейчас и не коннектятся к интернету на втором компьютере.. хотя все сетевые настройки остались прежними, обмен данными между компами идёт, но при соединении, к примеру, Filezilla или попытке зайти на сайт - мгновенное сообщение, что нет соединения, и файрволл не отображает какой-либо активности в сети ни для какого приложения. Не подскажете, в чём тут может быть дело? на всякий случай высылаю новые логи
-
Пофиксите в HJT:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\DOCUME~1\Main\LOCALS~1\Temp\IXP000.TMP\MsiExec.exe (file missing)
Перезагрузите ПК
-
-
Junior Member
- Вес репутации
- 53
выполнил требуемые предписания, при действиях для записи О23 "2. Нажать кнопку Open The Misc Tools section
3. Нажать кнопку Delete an NT Service
4. В открывшемся диалоге ввести название службы - MSIServer
5.Нажать кнопку OK"
HJT выдал сообщение
The service 'MSIServer' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the Services.msc window
после перезагрузки компьютера сделал лог:
-
-
-
Junior Member
- Вес репутации
- 53
На основном компьютере работает, со вторым, на котором всё произошло, связь есть, пинг между компами присутствует.. но все сетевые программы и браузеры на втором сразу выдают сообщение, что нет соединения
-
На компьютере, котором Вы пофиксили строчки работает?
-
-
Junior Member
- Вес репутации
- 53
нет, я же фиксил, само собой, на втором компе, на котором была проблема, т.е. она осталась. На основном никаких проблем нет
-
Нормально. Логи с одного аппарата, фиксите неизвестно что на другом...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
pig
Нормально. Логи с одного аппарата, фиксите неизвестно что на другом...
Уважаемый, абсолютно все предоставленные логи с того аппарата, на котором была проблема, там же и фиксил. Откуда такое подозрение в моей бестолковости? Разве только оттого, что скачал эту хрень в сети, ну тут я согласен.
-
Если что-то может быть понято неправильно, оно будет понято неправильно (c)
Ладно, проехали. Я так понимаю, что второй аппарат в отдельную тему для лечения. Или уже открыли?
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
pig
Я так понимаю, что второй аппарат в отдельную тему для лечения. Или уже открыли?
почему? нет, вообще ведь с первого поста речь шла только о втором аппарате, на который и был закачан вирус. А первый в порядке изначально, с него сейчас и пишу сообщения. А на втором делаю все указанные "медицинские" предписания и сохраняю логи. Я так понял, что вся вирусня была на нём в результате обезврежена, только почему-то пропало соединение с инетом, хотя настройки доступа остались прежними. В чём тут может быть проблема?(
Ладно, уже только завтра вечером приду с работы, помогите, если получится?
-
Сообщение от
Аспарагус
А первый в порядке изначально, с него сейчас и пишу сообщения.
Не поминайте его всуе. Мешает пониманию, особенно при чтении по диагонали
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
pig
Не поминайте его всуе. Мешает пониманию, особенно при чтении по диагонали
хорошо, не буду я думал, что следует рассказать о домашней сети, может это имеет значение для лечения.
Ну так как, возможно определить, почему у меня браузеры и программы не проявляют никакой сетевой активности, судя по файрволлу?
Добавлено через 5 часов 10 минут
поискал в инете симптомы, судя по всему, вирусом были повреждены разделы реестра, такие как
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Winsock
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Winsock2
удалил поврежденные разделы реестра и переустановил протокол TCP / IP по указаниям с сайта техподдержки Майкрософт. Неожиданно для меня самого всё исправилось, только файрволл стал блочить все подряд выходы в инет, выдавая их как сканирование портов, приходится каждый раз вручную разблокировать.
Всем спасибо за помощь!
Последний раз редактировалось Аспарагус; 24.11.2009 в 22:33.
Причина: Добавлено