Пропал доступ к "Диспетчеру задач", проблемы с выходом в интернет, на рабочем столе сообщение поверх всех окон с требованием отправить смс
Пропал доступ к "Диспетчеру задач", проблемы с выходом в интернет, на рабочем столе сообщение поверх всех окон с требованием отправить смс
Закройте все программы.
Выполните в AVPTool скрипт:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteRepair(11); QuarantineFile('C:\Documents and Settings\Admin\Cookies\userlib.dll',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\don8.tmp',''); DeleteFile('c:\docume~1\admin\locals~1\temp\don8.tmp'); DeleteFile('C:\Documents and Settings\Admin\Cookies\userlib.dll'); CreateQurantineArchive('C:\quarantine.zip'); ExecuteRepair(14); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузите файл C:\quarantine.zip, используя ссылку Прислать запрошенный карантин вверху этой темы.
Сделайте новый файл исследования системы и приложите сюда.
Установите обновления безопасности на Windows.
Предложили скачать файл, для того, чтоб видео можно было смотреть он-лайн (иначе диалоговое окно не закрывалось). Принудительно перезагрузил комп. После перезагрузки вылезло окно почти на весь экран, поверх всех окон, в нём предлагалось отправить смс на короткий номер и после введения кода окно закроется. Окно не закрывалось никак, не перемещалось и не сворачивалось, только с помощью дополнительной кнопки мыши "закрыть приложение". В безопасном режиме нет и этого. Потом подумал об "Диспетчере задач", обнаруживаю, что он заблокирован администратором. Далее интернет исчез, появляется только после системной диагностики проблем подключения. Не понимаю, в чем дело. Буду весьма признателен за помощ.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:
- Выполните скрипт AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin\LOCALS~1\Temp\don8.tmp O2 - BHO: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL (file missing)
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\docume~1\admin\locals~1\temp\don8.tmp'); QuarantineFile('C:\Documents and Settings\Admin\Cookies\userlib.dll',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\don8.tmp',''); DeleteFile('c:\docume~1\admin\locals~1\temp\don8.tmp'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); {разблокировка диспетчера задач} SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Обновите базы AVZ!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Добавлено через 9 минут
Я понять не могу: это два разных компьютера или один и тот же? Вы выполнили то, что Вас просил AndreyKa? Логи очень похожи - объяснитесь, пожалуйста!
Последний раз редактировалось gjf; 08.10.2009 в 18:26. Причина: Добавлено
Да, комп один и тот же, прошу прощения за повтор просьбы. Просто сначала подумали, что всвязи с неполной информацией заявка рассмотрена не будет (есть горе-советчики). Поэтому выполнили полную проверку и выслали полные данные. То, что предложил AndreyKa выполнил, все вроде работает нормально, проблемы решены за что гигантское спасибо!
Где контрольные логи?
Сделайте новый файл исследования системы и приложите сюда.
Сейчас делаем
контрольный лог
Больше ничего вредоносного в логах не видно.
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\admin\locals~1\temp\don8.tmp - Trojan-Ransom.Win32.SMSer.nv ( DrWEB: Trojan.Winlock.320 )
Уважаемый(ая) sheppard, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.