-
Junior Member
- Вес репутации
- 53
Вымогатель СМС с userlib.dll
Помогите пожалуйста избавиться от зловредного вируса !
Расскажу все по порядку:
Друг принес комп. в нем установлен AVAST Про. Браузер - IE 7. Система Win XP SP3.
Началось все с серфинга в интернет, после которого десктоп был перегорожен неубиваемым окном с требованием послать СМС для оплаты какого-то порно. Диспетчер задач заблокирован. В безопасном режиме - тот-же результат.
Сталкиваясь ранее на другом компе с данной проблемой, мною было замечено, что заходя в систему под пользователем с ограниченными правами окошка с требованием СМС не возникало. В этой сессии, запустив менеджер автозапуска в AVZ я увидел, что в автозапуске стоит какой-то файл .tmp из папки "Documents and Settings\<AdminUserName>\Local Settings\Temp".
Удаление этого файла привело к исчезновению СМС-окна. Все остальное работало, но AVZ ругался на перехваты процедур и файл userlib.dll в папке "Documents and Settings\<AdminUserName>\Cookies\".
Перемещение файла userlib.dll приводило к неработоспособности сети.
Поскольку времени не было (под новый год), я решил разобраться с этим позднее, да так руки и не дошли.
В случае с моим другом и его тачкой возможности зайти под юзером с ограниченными правами не было. Поэтому я загрузился с диска Реаниматор и переместил тот самый файл (в данном случае kui4E.tmp, а заодно и kui4F.tmp) в другую папку.
СМС-баннер исчез, но все остальные признаки вируса остались.
Диспетчер задач восстановил.
Хотелось-бы окончательно избавиться от него, в связи с чем, прошу вашей помощи.
Последний раз редактировалось dassat; 06.01.2010 в 23:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите строку в HJT:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\kui4E.tmp
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Григорий\Cookies\userlib.dll','');
DeleteFile('C:\Documents and Settings\Григорий\Cookies\userlib.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Все сделал. Сеть работает как надо. Однако AVZ по прежнему ругается на перехват функций.
Те .tmp файлы присылать? Они в карантин не попали.
И там в Cookies есть еще файл userlib.dbb
Последний раз редактировалось pig; 07.01.2010 в 10:41.
Причина: карантин в теме - моветон
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо огромное. Очень оперативно и эффективно.
С Рождеством Христовым!
Счастья, здоровья и любви!