-
Junior Member
- Вес репутации
- 54
Похоже "Вымогатель", требует СМС
Здравствуйте, у меня опять проблема...
При загрузке компьютера виден синий экран на котором написано, что используется нелицензионная версия виндовз и просит отправить смс на 32 рубля (!) чтобы разблокировать. В безопасном режиме под профилем пользователя - тоже самое. Логи сделала в безопасном режиме под профилем администратора.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Media\sound.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\Windows\Media\sound.exe');
BC_ImportDeletedList;
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке "Прислать запрошенный карантин".
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить.
Проверьте загрузку в обычном режиме. Если заходит, то логи повторите.
-
-
Junior Member
- Вес репутации
- 54
Пока ждала от вас ответ, нашла на вашем форуме ссылку на Веб, где описываются все winLocker'ы .
http://news.drweb.com/show/?i=304&c=9&p=0
Правда поего сообщения "getcont39505" там нет, но пароль 0000000 помог.
На всякий случай выполнила ваш скрипт, карантин загрузила
Файл сохранён как 090819_130820_virus_4a8bc104da3cf.zip
Размер файла 1628154
MD5 7706a59a36483fc02d9e65b914babf2e
Файл закачан, спасибо!
В нормальном режиме заходит, делаю логи...
Добавлено через 32 секунды
Через мастер всё пофиксила
вот логи, антивирус не запускается
Последний раз редактировалось Rene-gad; 19.08.2009 в 13:34.
-
Сообщение от
Deniz_S
Через мастер всё пофиксила
Очевидно - не все
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('kbiwkmxmpjpyat');
QuarantineFile('C:\WINDOWS\system32\drivers\kbiwkmptnvpmhf.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\kbiwkmptnvpmhf.sys');
DeleteService('kbiwkmxmpjpyat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('kbiwkmxmpjpyat');
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог GMER
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 54
Всё сделала, похоже эта дрянь подменяет антивирь...
Файл сохранён как090819_150210_virus_4a8bdbb209f0b.zipРазмер файла66166MD5aa54dd9865b49a2fe661d9425350635e
Логи
-
В AVZ
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\kbiwkmvnrdfnfm.dll','');
QuarantineFile('c:\windows\system32\kbiwkmwxwbdvbn.dll','');
QuarantineFile('c:\windows\system32\kbiwkmribxvbpf.dat','');
QuarantineFile('c:\windows\system32\kbiwkmqqulbtkl.dat','');
QuarantineFile('kbiwkmwsp.dll','');
DeleteFile('c:\windows\system32\kbiwkmqqulbtkl.dat');
DeleteFile('c:\windows\system32\kbiwkmribxvbpf.dat');
DeleteFile('c:\windows\system32\kbiwkmvnrdfnfm.dll');
DeleteFile('c:\windows\system32\kbiwkmwxwbdvbn.dll');
DeleteFile('c:\windows\system32\kbiwkmwsp.dll');
DeleteFile('c:\windows\system32\drivers\kbiwkmwsp.dll');
DeleteFile('c:\windows\system32\drivers\kbiwkmptnvpmhf.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин.
Сохраните текст ниже как 123.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service kbiwkmxmpjpyat
gmer.exe -del file "c:\windows\system32\drivers\kbiwkmptnvpmhf.sys"
gmer.exe -del file "kbiwkmwsp.dll"
gmer.exe -del file "c:\windows\system32\kbiwkmwxwbdvbn.dll"
gmer.exe -del file "c:\windows\system32\kbiwkmribxvbpf.dat"
gmer.exe -del file "c:\windows\system32\kbiwkmvnrdfnfm.dll"
gmer.exe -del file "c:\windows\system32\kbiwkmqqulbtkl.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmxmpjpyat"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kbiwkmxmpjpyat"
gmer.exe -reboot
И запустите 123.bat. Компьютер перезагрузится.
Повторите логи AVZ и gmer.
Добавлено через 1 минуту
sound.exe - Trojan.Win32.Buzus.butl детектирование будет добавлено в следующее обновление.
Последний раз редактировалось light59; 19.08.2009 в 15:22.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 54
файл 123.bat ругался на удаление файлов, т.к. их не находил...
Карантин
Файл сохранён как 090819_154204_virus_4a8be50cc954c.zip
Размер файла 62172
MD5 caf084a9abfaf7a15f768e1864d41084
Логи делаю...
При тщательном просмотре через FAR папки c:\windows\system32\ нашла файл
kbiwkmlog.dat - может он творит гадости, могу прислать, ток скажите как...
-
Сообщение от
light59
Повторите логи AVZ и gmer.
Please
-
-
Сообщение от
Deniz_S
При тщательном просмотре через FAR папки c:\windows\system32\ нашла файл
kbiwkmlog.dat
Удалите этот файл.
-
-
Junior Member
- Вес репутации
- 54
-
В логах криминала не вижу.
Что с проблемами?
-
-
Junior Member
- Вес репутации
- 54
хочу напоследок проверить систему, но антивирус так и не запускается, хотя процесс висит в диспетчере задач
-
попробуйте переустановить антивирус.
-
-
Junior Member
- Вес репутации
- 54
Error: Request cfg error (6, reqerr=3) (3)
File: \CVS_Projects\DrWeb32\Ipc\ipc.cpp
Line 753
вот что выдал мне антивирь после долгого думания
Добавлено через 42 секунды
Хорошо, завтра отвезу машину клиенту и переставлю Веб. А что за зверь то там сидел?
Последний раз редактировалось Deniz_S; 19.08.2009 в 16:59.
Причина: Добавлено
-
Сообщение от
Deniz_S
Хорошо, завтра отвезу машину клиенту и переставлю Веб.
Обратитесь с этим сообщением в техподдержку Dr.Web.
Добавлено через 1 минуту
Сообщение от
Deniz_S
А что за зверь то там сидел?
Что-то из этой серии: http://virusinfo.info/showthread.php?t=50169
Последний раз редактировалось Rene-gad; 19.08.2009 в 17:03.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 54
Спасибо вам большое! Хорошо что вы есть! Удачи вам в работе...
-
Был руткит семейства Tdss и Trojan.Win32.Buzus.butl
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\media\sound.exe - Trojan.Win32.Buzus.butl ( DrWEB: Trojan.MulDrop.33776, AVAST4: Win32:Trojan-gen {Other} )
-