окно антивируса требует отправить смс

**Fox-RK** · 09.01.2010, 12:11

Добрый день
Подцепили заразу - при входе в систему появляется окно какого то интернет секьюрити (такой программы не установлено), происходит сканирование системы, далее предлагается выбрать чего делать с найденными вырусами, а далее отправить смс для активации (принтскрины окошек в прикрепленно архиве, пароль - virus).
Установлен лицензионный др.вэб, обновляется постоянно, виндовс хп, так же встроенный фаервол включен.
После появления заразы вэб не может обновиться, сканер не запускается, диспетчер задач вызывается на секунду и исчезает, интернет соединение пропало (в сетевых подключениях вообще нет значка, пришлось поставить заново), пользователь ограничен в правах, под администратором данное окно не выскакивает, но вэб все равно не работает.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 09.01.2010, 12:22

такой http://www.gmer.net/ еще лог с делайте ...

**PavelA** · 09.01.2010, 12:25

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Мурл\Local Settings\Temp\yzbalj.dll','');
QuarantineFile('C:\Documents and Settings\Мурл\Local Settings\Temp\xmnru.dll','');
DeleteFile('C:\Documents and Settings\Мурл\Local Settings\Temp\yzbalj.dll');
DeleteFile('C:\Documents and Settings\Мурл\Local Settings\Temp\xmnru.dll');

 QuarantineFile('C:\Program Files\sXe Injected\ddsxei.sys','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин по Правилам.
Сделать заново логи.

**Fox-RK** · 09.01.2010, 12:55

Gmer сделать не смог - 1 раз комп завис, 2 раз синий экран

**PavelA** · 09.01.2010, 12:57

Выполните скрипт. Если что-то попадет в карантин то пришлите через красную ссылку.

**Fox-RK** · 09.01.2010, 17:16

скрипт с двух попыток до конца так и не выполнен, в карантин закидывает первые два, а удалять нет - комп виснет ни на что не реагирует
карантин закинул
Файл сохранён как 100109_171324_virus_4b488f04b76c4.zip
Размер файла 1346695
MD5 f6ede703294204bfdb47ef4bd1c3f858
логи прикрепляю

**PavelA** · 09.01.2010, 17:54

Обе dll из Темпа по ВТ чистые, даже ни одного подозрения.
Подождем ответа Вирлаба.

Добавлено через 3 минуты

1) Скачайте http://download.bleepingcomputer.com/Merijn/adsspy.zip
2) Загрузите компьютер с какого-нибудь LiveCD на базе Windows
3) Запустите скаченный ADSSpy.exe
4) Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
5) Нажмите кнопку Scan the system for alternate data stream
6) На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите View steam contens
7) Нажмите кнопку Save to disk
8 ) Сохраните файл с именем похожим на то, что написано внизу окна ADS Spy в строчке Viewing content of ....
9) Нажмите кнопку Back
10) Повторите с шага 6 процедуру для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить)
11) Запакуйте сохраненные файлы в zip-архив с паролем virus
и загрузите через ссылку Прислать запрошенный карантин вверху этой темы.

**Fox-RK** · 09.01.2010, 22:59

выполнил, результат найдено 0

зараза так и грузится при запуске системы.

вирус загружается только при запуске системы ограниченным пользователем (стоит автоматическая загрузка) под администратором окна этого нет,
все тесты делаю под администратора, т.к. с другого пользователя ни одна программа не запускается

**Fox-RK** · 10.01.2010, 12:45

есть ответ от Вирлаба?

**AndreyKa** · 10.01.2010, 14:24

C:\Documents and Settings\Мурл\Local Settings\Temp\xmnru.dll и
C:\Documents and Settings\Мурл\Local Settings\Temp\yzbalj.dll - мусор.
Остальные чистые.

**Fox-RK** · 10.01.2010, 19:04

в инете нашел алгоритм подбора кода, чтоб убрать блокировку системы без отсылки смс, подобрал, окно пропало.
посмотрите логи сделаные из рабочей учетки

**Bratez** · 11.01.2010, 03:39

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Мурл\Local Settings\Temp\yzbalj.dll');
DeleteFile('C:\Documents and Settings\Мурл\Local Settings\Temp\xmnru.dll');
DeleteFileMask('C:\Documents and Settings\Мурл\Local Settings\Temp', '*.*',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Повторите лог по п.1 Диагностики.

**Fox-RK** · 11.01.2010, 19:48

не получается, на первом делете комп зависает и ни на что не реагирует (только выключить принудительно), при попытке ручного удаления (начал со второго файла) такая же картина, при чем нет надписи что удалить нельзя или еще чего нить, просто вис и все

Добавлено через 1 минуту

может они как нить в процессах прицеплены или еще чего нить?

Добавлено через 1 минуту

кстати из рабочей учетки (Мурл) я не могу зайти на вирусинфо, инет работает, сайты грузит, а к вам никак

Добавлено через 4 минуты

и антивирусник не могу востановить