Показано с 1 по 10 из 10.

Вирус требовал СМС от лица Kaspersky Lab (заявка № 50258)

  1. #1
    Junior Member Репутация
    Регистрация
    19.07.2009
    Сообщений
    6
    Вес репутации
    27

    Thumbs up Вирус требовал СМС от лица Kaspersky Lab

    Здравствуйте.
    День первый - неизвестная программа запросила доступ к сети. Доступ был мной заблокирван.

    День второй- та же программа(не помню название) вывела на экран сообщение(не записал текст) и перезагрузила компьютер.
    После перезагрузки,при открытии учетной записи вирус потребовала отправить смс на номер 6008 с текстом #win1t5675. смс было отправлено - в ответ был получен код: 5748839. После ввдения кода система загрузилась.

    После загрузки системы был доступен только диск "С", остальные диски отображались как съемные. Открыть их напрямую их не представлялось возможным. Но через Проводник удалось просмотреть, что в корневом каталоге каждого диска установлены файлы md.exe. Удалить их не удалось т.к. "они используются другим приложением". Диспетчер задач не открывается "отключен администратором", а когда открывается - сразу закрывается. Regedit так же закрывается через пол секунды после открытия.
    Заранее спасибо. Очень расчитываю на вашу помощь.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    - Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     CreateQurantineArchive('C:\quarantine.zip');
     QuarantineFile('G:\md.exe','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('D:\DOCUME~1\DE97~1\LOCALS~1\Temp\UqnuqJB8.sys','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\alulq4f7.SYS','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\abaguyn2.SYS','');
     QuarantineFile('d:\windows\system32\user32.exe','');
     QuarantineFile('d:\program files\markany\contentsafer\maagent.exe','');
     QuarantineFile('d:\docume~1\de97~1\locals~1\temp\rarsfx0\7a4e4l.exe','');
     QuarantineFile('d:\docume~1\de97~1\locals~1\temp\rarsfx0\6ggx2.exe','');
     DeleteFile('d:\docume~1\de97~1\locals~1\temp\rarsfx0\6ggx2.exe');
     DeleteFile('d:\docume~1\de97~1\locals~1\temp\rarsfx0\7a4e4l.exe');
     DeleteFile('e:\md.exe');
     DeleteFile('d:\md.exe');
     DeleteFile('с:\md.exe');
     DeleteFile('d:\windows\system32\user32.exe');
     DeleteFile('E:\md.exe');
     DeleteFile('D:\DOCUME~1\DE97~1\LOCALS~1\Temp\UqnuqJB8.sys');
     DeleteFile('E:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('G:\autorun.inf');
     DeleteFile('G:\md.exe');
    BC_ImportAll;
    ExecuteSysClean;
     ExecuteRepair(16); {восстановление ключа запуска explorer}
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин (он находится на диске С вот здесь: C:\quarantine.zip) согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

    Добавлено через 2 минуты

    P.S. Обратите внимание: у Вас при сканировании были запущены CureIt и антивирус Eset. Их лучше выгрузить во время сканирования и лечения.

    И ещё вопрос: службу автоматического обновления Windows Вы сами отключали?
    Последний раз редактировалось gjf; 19.07.2009 в 18:37. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    19.07.2009
    Сообщений
    6
    Вес репутации
    27
    Скрипт сработал. Диски отображаются корректно. Панель задачь по прежнему не доступна

    Файлы в карантине отсутствовали.
    Вложения Вложения
    Последний раз редактировалось volonter2004; 19.07.2009 в 19:26.

  5. #4
    Junior Member Репутация
    Регистрация
    19.07.2009
    Сообщений
    6
    Вес репутации
    27
    Цитата Сообщение от gjf Посмотреть сообщение
    И ещё вопрос: службу автоматического обновления Windows Вы сами отключали?
    Не помню.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Выполните скрипт AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
    SetServiceStart('wuauserv', 2)
     ExecuteRepair(6); {удаление всех политик ограничения текущего пользователя}
     ExecuteRepair(11); {разблокировка диспетчера задач}
     ExecuteRepair(17); {разблокировка редактора реестра}
     SetAVZPMStatus(false);
     BC_Activate;
     RebootWindows(false);
    end.
    Система перезагрузится.
    Сделайте лог с помощью GMER.
    gmer.log

  7. #6
    Junior Member Репутация
    Регистрация
    19.07.2009
    Сообщений
    6
    Вес репутации
    27
    Скрипт не выполняется - "сбой в задаче <avz scan>"

  8. #7

  9. #8
    Junior Member Репутация
    Регистрация
    19.07.2009
    Сообщений
    6
    Вес репутации
    27
    Лог gmer

    p.s.: на компьютере установлено две ОС. после удаления вируса на одной системе и загрузки другой, жесткие дисик были заражены повторно
    Вложения Вложения
    • Тип файла: log Log.log (480 байт, 11 просмотров)

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Вы сделали лог в соответствии с рекомендациями? Галочку поставили напротив диска, на котором установлена рабочая ОС?

    Если заражение повторилось - делайте опять сканирование и логи.

  11. #10
    Junior Member Репутация
    Регистрация
    19.07.2009
    Сообщений
    6
    Вес репутации
    27
    Проблема решилась через AVZ "файл-востановление системы-разблокировать панель задач". Повторный запуск скрипта в основной ОС на дсике С удалил вирус с компьютера. Спасибо за помощь

  • Уважаемый(ая) volonter2004, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Internet Security требовал смс на номер 4460
      От atributz в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.01.2010, 19:30
    2. Требовал смс
      От BeSoFF в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.12.2009, 08:21
    3. Вирус требовал СМС от Kaspersky Lab
      От leonidas в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 26.07.2009, 18:33
    4. Несанкционированный доступ от моего лица
      От anthony_ в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.07.2009, 20:43
    5. Kaspersky Anti-Hacker 1.8.180 Вышла новая версия лучшего фаервола Kaspersky
      От SDA в разделе Межсетевые экраны (firewall)
      Ответов: 6
      Последнее сообщение: 15.08.2005, 15:12

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00152 seconds with 20 queries