-
Junior Member
- Вес репутации
- 54
Блокирует комп. Требует отправить смс. Антивирусы не помогают.
Здравствуйте!
После посещения сайта (женский про моду) появляется синий экран, блокирующий рабочий стол. На экране текст примерно следующего содержания: "Обнаружено использование нелицензионного ПО, компьютер заблокирован, отправьте СМС на номер хххх, для получения кода."
На момент первого появления вируса был установлен НОД(базы обновлены).
Удалил НОД, использовал Dr. Web CureIt! в безопасном режиме, нашлись трояны, удалил. Один день без проблем - дальше снова синий экран с запросом смс. После использовал Касперского, Нортон Антивирус с обновленными базами, по очереди. Каждый находил новые вирусы, НО через день снова то же самое.
Флешки, которые в процессе лечения вставлялись в комп, все проверялись на вирусы.
Когда удавалось влезть мимо синего экрана в проводник и диспетчер задач, отключал эту заразу, убив процесс ctfmon.exe(путь к нему в папке с:\windows). Отключал его в автозагрузке в msconfig. Удалял через тотал командер. И через день он снова появлялся, снова синий экран.
Да, ещё при каждой загрузке w-s открывается папка "Мои документы".
Последний раз редактировалось PavelA; 29.09.2009 в 22:07.
Причина: Ещё детали
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Установите AVZPM через меню в AVZ.
Перезагрузите компьютер.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 54
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\kbiwkmdlmlktet.sys','');
QuarantineFile('C:\Genius\ioCentre\gZoom.exe','');
QuarantineFile('C:\Genius\ioCentre\gTaskSwitch.exe','');
QuarantineFile('C:\Genius\ioCentre\gTaskBar.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\kbiwkmdlmlktet.sys');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
BC_ImportALL;
BC_DeleteSvc('kbiwkmdlmlktet');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин по ссылке вверху страницы. Повторите лог virusinfo syscheck, сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118
-
-
Junior Member
- Вес репутации
- 54
Успел отослать только карантин. Далее:
При проверке диска С Gmer-ом - сбой системы(не сразу), синий экран. Не знаю, надо ли, но переписал: Technical Information ***STOP: 0x00000050 (0xc0a4a31c, 0x00000000, 0x804e8d84, 0x00000002).
Пытался загрузится в безопасном режиме-синий экран: The BIOS in system is not fully ACPI compliant (...) Technical Information STOP:0x000000a5 (0x00000011, 0x00000006, 0x00000000, 0x00000000)
Через f8 загрузка последней удачной конфигурации не помогает - черный экран с мигающим курсором и больше ничего.
Пробовал протоколирование загрузки - появляется экран загрузки W-s, затем синий экран:
The problem to be caused by the following file: win32k.sys
PAGE_FAULT_IN_NOPAGED_AREA
Technical Information: STOP: 0x00000050(0xba350c3c, 0x00000001, 0xbf8df79a, 0x00000000)
win32k.sys - address bf8df79a base at bf800000, DateStamp 461b6dfe
Далее вообще наломал дров: в биосе выполнил пункт меню "Load Optimized Defaults". После перезагрузки появляется надпись "Boot from CD: Disk boot failure. Please, insert system disk" и все. В биосе в Standart CMOS Features на IDE жёсткий не детектится. биос не видит жесткий.
Кошмар. Что делать?
Последний раз редактировалось avesanchez; 28.09.2009 в 22:27.
-
На компьютере был Rootkit: Packed.Win32.TDSS.z (DrWEB : BackDoor.Tdss.540). Скрипт vegas должен был его удалить. Почему возникла ошибка при проверке Gmer-ом не понятно.
Сообщение от
avesanchez
В биосе в Standart CMOS Features на IDE жёсткий не детектится.
Он у вас случайно не SATA? Или к какому-нибудь RAID-контроллеру на системной плате не подключен?
-
-
Junior Member
- Вес репутации
- 54
Жесткие SATA. Их два. Не понимаю, почему вдруг оба перестали детектиться в биосе после выполнения пункта меню "Load Optimized Defaults". С загрузочного диска пытался запустить редактор дисков от Acronis-a - тоже пишет, что "не найдено ни одного диска".
Извиняюсь, что не по теме уже разговор.
-
Контролер SATA включен?
Диски в RAID были объеденены?
Был у меня случай, при быстрой загрузке BIOS, когда память тестируется только раз. BIOS не мог загрузить ОС с дисков, ни с IDE ни с SATA. Переключил на нормальный режим и стал загружаться.
-
-
Junior Member
- Вес репутации
- 54
SATA был выключен, сразу не нашел, где это исправить. МВ: Elite Group 848P-A. Где включить: BIOS=>Integrated Peripherals=>OnChip IDE Device=>строка On-Chip SATA Setting=>On-Chip SATA Setting выбрал Auto.
Тут новая напасть. Форматировал HDD, запустил установку W-s. После установки всяких контроллеров и тд(голубой фон) возникает черный экран с мигающим курсором, дальше ничего не происходит.
Сейчас гуглю по этой проблеме.
Последний раз редактировалось avesanchez; 01.10.2009 в 02:16.
-
Либо надо подсунуть дискету с драйвером SATA контроллера при установке, либо переключить его в режим эмуляции IDE.
-
-
Junior Member
- Вес репутации
- 54
Проблема оказалась в оперативной памяти. Установлены 256Mb и 1Gb Kingston-ы. Вынул-вставил платки, контакты продул. Запустил Memtest86+ v2.11, который показал ошибки, причем миллионы. Ещё раз вынул, вставил только гиговую. Memtest ошибок не дал. Что интересно: вставил обратно 256Mb - ошибок уже нет.
Запустил установку W-s - как по маслу.
Форматировал HDD, на котором стояла W-s. Вопрос: нужно ли теперь искать вирусы и как?
-
Искать вирусы на отформатированном диске?
-
-
Junior Member
- Вес репутации
- 54
Нет. Есть же второй жёсткий. И я планирую его использовать. Сформулирую вопрос иначе: есть ли угроза вирусов от второго HDD? Когда пытался лечить антивирями(до переустановки и обращения сюда - см. мой первый пост), то на нем тоже обнаруживались вирусы.
-
Трояны и руткиты с диска на диск не перепрыгивают, это делают вирусы и черви, а их в логах видно не было.
-
-
Junior Member
- Вес репутации
- 54
Ясно. Огромное спасибо за помощь! Жаль только, что с gmer-ом такой конфуз.
-
Можно на всякий пожарный прогнать а/вирус с полной проверкой другого жесткого.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\kbiwkmdlmlktet.sys - Packed.Win32.TDSS.z ( DrWEB: BackDoor.Tdss.based.1, BitDefender: Trojan.Generic.2412361, AVAST4: Win32:Alureon-CO [Rtk] )
-