Окно с требованием отправить СМС блокирует комп!

[Седовлас]

Вчера около 20 часов после ряда обновлений системы появилось сообщение (см. вложение), комп заблокирован, а именно:
- не запускается диспетчер программ (в меню панели задач строка также заблокирована) ни одним способом;
- при попытке запуска любого исполняемого (.exe, .com) файла активизируется неснимаемая заставка (см. вложение);
- при попытке восстановления системы выдается сообщение о запрете этого действия локальной политикой;
- попытка входа в меню локальной политики через администрирование блокируется;
- блокируются другие компоненты меню "администрирование";
- открыт общий доступ к диску С:
- счетчик времени на заставке вируса сбрасывается при перезапуске.
- все это происходит и в любом защищенном режиме;
- при попытке обновления файлов windows командой Sfc /scannow результат тот же

Попытки выполнить любые действия согласно правилам обращения за помощью провалились, в т.ч. через лок. сеть и с внешнего носителя.

Короткий номер 4460, по информации "Билайн", принадлежит некоему ЗАО "Контент-провайдер Первый Альтернативный", тел (495)363-1427, доб. 555, e-mail: support(собака)alt1.ru

Вопросы: - что за дрянь?
- как убить?
- можно ли наказать негодяев?

[snifer67]

Попробуйте сделать такой лог:
Скачайте эту программу: http://www2.online-solutions.ru/ru/d...le.php?p=65579
- Переименовать папку с программой, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
- Переименовать исполняемый файл программы в что-то типа game.pif, program.com
Попробуйте сделать лог:
1) Запустите OSAM и дождитесь окончания сканирования.
2) Нажмите на кнопку "Save Log"
3) Запакуйте лог в архив и прикрепите к своему следующему сообщению.

[Седовлас]

Уже пробую.

[Седовлас]

Попробуйте сделать такой лог:
Скачайте эту программу: http://www2.online-solutions.ru/ru/d...le.php?p=65579

Ссылка не открылась (Что-то не то?), но я взял отсюда http://virusinfo.info/showthread.php?t=64900 аналог. Распаковал и... получил сообщение о вирусе (см. вложение)

[snifer67]

Нажмите кнопку Remove message .Антивирусное ПО надо выгружать !

[Седовлас]

Все сделал, попытался запустить с флешки в безопасном режиме. Реультат тот же, что и при запуске любого другого исполняемого файла - появление заставки с вымогательством (см. выше)

Добавлено через 10 минут

Спасибо за попытку помочь, я уже нашел ответ на http://virusinfo.info/showpost.php?p=529896&postcount=1.
Сообщение - один в один, только номер другой

[pig]

А теперь делайте логи.

[Седовлас]

После просмотра указанной выше темы многократно пытался запустить AVZ из-под других учеток. Не получалось.
Однако после перезагрузки кнопкой "ресет" во время сохранения параметров системы (с досады...) начало выдаваться сообщение типа "RUN.dll не может обнаружить..." несколько раз, и ожил AVASTY!! И тут же начал изничтожать множество файлов с вирусом Win32:malvare-gen.
Затем обнаружил вирус в памяти, и предложил начальную проверку при перезагрузке. Я согласился. Было стерто жуткое число файлов, загружена система, запущен полный скан. Чисто. Запущен АVPTool - чисто. Далее действовал по инструкции, логи прилагаю. Сейчас ОС работает устойчиво, НО все прелести - неработающий диспетчер программ, запрет восстановления и т.п. остались.

[snifer67]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pob.dll','');
DeleteFile('C:\WINDOWS\system32\pob.dll');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[Седовлас]

Выполнено.
Диспетчер программ появился, восстановление заблокировано (вирусом, я не отключал, ибо невозможно было...).

[snifer67]

Пофиксить в HijackThis

Код:

F2 - REG:system.ini: Shell=c:\windows\explorer.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\pob.dll

ПК перезагрузите.

AVZ => Файл => Мастер поиска и устранения проблем. Категория - "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить
Установите SP3 (может потребоваться активация) + все новые заплатки

[Седовлас]

Спасибо! Почти все наладилось.
Не работал было редактор реестра - ему не хватало библиотеки clb.dll - записал копию, заработал.
Из остаточного - не работает центр справки и поддержки, пишет - запустить службу. Служба не запускается, см вложение.
М.б., что-то еще нужно сделать?

[Седовлас]

Еще повреждения после лечения вируса: не выполняется программы Sfc.exe, Msinfo32.exe и т.п.
Что делать? Неужто Windows переставлять?

[Седовлас]

Понимаю, что основное сделано, и интерес у помощников пропал... Все равно, спасибо за помощь! Перехожу на Virusinfo 911

[Седовлас]

Сегодня получен ответ от А1 Агрегатор на претензию от 25.12.09 Внутри - КОД РАЗБЛОКИРОВКИ!!! К сожалению, все уже убито, и проверить его нет возможности...
Но каково-с?!!

Добавлено через 5 часов 30 минут

Получил в личку запрос о полученном коде. Выкладываю опыт на общее обозрение, м.б. модераторы им воспользуются и прилепят к теме http://virusinfo.info/showpost.php?p=529896&postcount=1
Итак, надо воспользоваться формой для претензий на сайте конторы по имени "А1агрегатор", которой и принадлежит этот номер (4460 и многие другие похожие): http://a1help.ru/index3.php, строка жалобы на действия партнеров, я так и делал. От отсылки претензии до ответа прошло 5 дней, вирус успел снести, не поверил, что ответ будет. Но винда нормально так и не работает, надо было проявить терпение...
Примерный текст для общения с формой сайта:
Данные недобросовестного партнера: Ваш короткий номер 4460, ссылка на программу DOWNLOAD MASTER
Суть проблемы: На моем компьютере появился троян, полностью блокировавший его работу с мошенническим противозаконным вымогательством путем отсылки СМС на номер 4460. При этом указанная цена 10 руб, а ее реальное значение 304 руб, что также нарушает законодательство. Вышеназванная программа DOWNLOAD MASTER мною никогда не устанавливалась.
Указанный вирусом код для отсылки в СМС: (привести код с вирусной заставки).
Прошу немедленно произвести расследование и выслать код разблокировки.
В противном случае буду обращаться в компетентные органы... (и т.п. угрозы). Вообще-то, это дело по линии управления "Р" ФСБ, можно со зла и реально капнуть, кому не лень...
Не забудьте указать точный e-mail для обратной связи.
Ответ пришел в виде одной строки с кодом разблокировки, без комментариев, но с возможностью ответа.
Всем удачи в Новом году! И никаких вирусов!

[AndreyKa]

Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.kuh ( BitDefender: Trojan.Generic.2909384, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Rootkit-gen [Rtk] )