-
Junior Member
- Вес репутации
- 56
СМС-вымогатель Internet Security К206014200
Кажется новая версия смс-вымогателя вышла (следующая после e-kav антивируса). И опять пропустил Аваст. Пишет следующее: Внимание! обнаружил вредоносное ПО на вашем компьютере... Работа системы заблокирована для предотвращения дальнейшего распространения вредоносновн ПО Для продолжения работы очистки вашей системы от вирусов и троянов необходимо активировать Вашу копию. Чтобы получить код активации отправьте смс с кодом К206014200 на номер 4460 Разумеется диспетчер задач, редактор реестра, антивирусы, HiJack, AVPTools, AVZ, CureIT, mbam, gmer - НЕ запускаются. С liveCD сегодня возможности загрузится не было (привод стар, не читает). Может подскажете еще мысли, имеется флешка? (попытка переименования - перезагрузка)
Последний раз редактировалось telemax; 08.01.2010 в 04:58.
Моя Родина - Земля и Небо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте код 9306350 или 104350
Не поможет - вынимайте диск и в другом компьютере проверяйте.
-
-
Junior Member
- Вес репутации
- 56
Прогресс есть, НО эта дрянь уже не дает : 1. Запускать *.pif 2. Переименовывать файлы в зараженной системе. Табличку убрал, помог подбор - один из кодов разблокировки для eKAV по схеме с этого форума, После этого вычистил AVZ, HiJack-ом. Проверил работу - все нормуль. Вот недавно позвонили, сказали, что одна беда осталась - не хочет запускаться QIP Infium. (нужна учетная запись jabber, не аськи) Даже если Качают, переустанавливают, все равно не запускается, выкидывает ошибку со ссылкой на WIKI.qip.ru. (видимо что-то с безопасностью файлов или в реестре) До вечера посоветовал обойтись - установить QutIM. Смогли, работает. Логи смогу сделать и выслать вечером, посмотрите, может чего упустил. Приаттаченный лог не актуален, это я попросил отправить мой первый лог.
Моя Родина - Земля и Небо.
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\system32\tm20dec.ax','');
QuarantineFile('C:\WINDOWS\system32\dgtbeq.dll','');
QuarantineFile('C:\WINDOWS\setup_rangers_2.exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\Documents and Settings\Админ.F63F7915F216418\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
DeleteFile('C:\Documents and Settings\Админ.F63F7915F216418\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 56
Все это было сделано сегодня утром. Повторные логи вышлю вечером.
Моя Родина - Земля и Небо.
-
Junior Member
- Вес репутации
- 56
Посмотрите пожалуйста логи, есть сомнения у меня.
Последний раз редактировалось telemax; 09.01.2010 в 01:38.
Моя Родина - Земля и Небо.
-
Junior Member
- Вес репутации
- 56
Еще раз даю табличку, которая мне помогла разблокировать комп и сделать логи.
Проверено, коды разблокировки подходят для eKAV и Internet Security
К = 1--2--3--4--5--6--7--8--9
0 = 8--9--1--2--3--4--5--6--7
1 = 9--1--2--3--4--5--6--7--8
2 = 1--2--3--4--5--6--7--8--9
3 = 2--3--4--5--6--7--8--9--1
4 = 3--4--5--6--7--8--9--1--2
5 = 4--5--6--7--8--9--1--2--3
6 = 5--6--7--8--9--1--2--3--4
7 = 6--7--8--9--1--2--3--4--5
8 = 7--8--9--1--2--3--4--5--6
9 = 8--9--1--2--3--4--5--6--7
Всего может быть девять вариантов, вам надо перебрать их все. (мне по закону подлости подошел последний, т.е. когда K=9)
Последний раз редактировалось telemax; 09.01.2010 в 01:39.
Моя Родина - Земля и Небо.
-
Карантина от вас не получено. Пришлите карантин.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1757981266-1958367476-839522115-1003\Dc9\wmic.chm:VVpIHMiGKk4ZGjC1n8K1:$DATA','');
QuarantineFile('C:\Program Files\NCSoft\Aion\bin32\DataServer.exe','');
QuarantineFile('C:\ANT\web\et3sqhta.pif','');
QuarantineFile('C:\ANT\RR\rr.pif','');
QuarantineFile('C:\ANT\GM\5f98vo57.pif','');
DeleteFile('C:\RECYCLER\S-1-5-21-1757981266-1958367476-839522115-1003\Dc9\wmic.chm:VVpIHMiGKk4ZGjC1n8K1:$DATA');
BC_ImportAll;
ExecuteSysClean;
SetServiceStart('RemoteRegistry', 4);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
C:\ANT - знаете что в этой папке?
-
-
Junior Member
- Вес репутации
- 56
Прошу прощения, что не отписался.
В папке C:/ANT - были антивирусные утилиты переименованные и с расширением pif.
Одна ерунда, не помогло.
С очередного захода с помощью AVZ подчистил остатки дряни. Проблема решена.
Сейчас порядок, спасибо.
(Проблема с QIP была решена - установкой в отдельный каталог, отличный от Program Files)
(у соседей было тоже самое - вылечил проще. Сразу разблокировал кодом, и в несколько заходов вычистил дрянь AVZ-ом и HiJack-ом)
Советую удалить Avast и поставить что-нибудь другое, скажем AviraAntivir.
Последний раз редактировалось telemax; 13.01.2010 в 23:28.
Моя Родина - Земля и Небо.