Показано с 1 по 7 из 7.

SMS вымогатель на номер 5155 (заявка № 67173)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    79
    Вес репутации
    26

    Thumbs down SMS вымогатель на номер 5155

    Во вторник 12.01.10 подцепил SMS-вымогатель "Пришлите текст 592100041 на номер 5155". Спомощью Вашего сервиса разблокировки подобрал код к этому зверю. Не исключено, что остались хвосты в системе. Помогите при случае найти эти остатки. Логи прилагаю.
    Также есть вопрос.
    Система: XP Pro SP3, DrWeb 4.44 (базы обновляю ежедневно). При попытке скачать (распаковать, установить) QIP Infium RC4, Build 9032 с офф. сайта QIP'а антивирус ругается на наличие вируса Trojan.AVKill.origin. Саппорт QIP'а отреагировал на мой вопрос по этому поводу так - "Программа написана на Delphi....Всё ОК". Действительно ли всё нормально и безопасно?
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Admin\Cookies\userlib.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(9);
    ExecuteRepair(14);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    4. Пофиксите в HijackThis:

    O20 - Winlogon Notify: crypt - crypts.dll (file missing)
    5. Повторите логи.
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    79
    Вес репутации
    26
    После выполнения первого скрипта и перезагрузки системы начала вылезать системная ошибка "svchost.exe Application error 0x10002652....."
    Выполнил второй скрипт AVZ и пофиксил пункты в HJT с трудом.
    Компьютер не видит сетку и не выходит в интернет. Опера не запускается. Хотя сетевые подключения периодически появляются и правильно настроены (перезагружался раз 20). Сейчас идёт повторное сканирование AVZ'ом. Пишу с другого ПК.

  5. #4
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    79
    Вес репутации
    26
    Очередные логи
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    В HiJackThis пофиксите:

    Код:
    O20 - Winlogon Notify: crypt - crypts.dll (file missing)

    В AVZ выполните скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('crypts.dll','');
     QuarantineFile('E:\Connect\Christmas kaledos_0.exe','');
     QuarantineFile('Coxsmbpt.sys','');
    BC_ImportAll;
    BC_Activate;
    ExecuteWizard('TSW',3,3,true);
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

  7. #6
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    79
    Вес репутации
    26
    большое спасибо за Вашу работу.
    просто переустановил систему - работа не ждёт.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от APlayer Посмотреть сообщение
    просто переустановил систему - работа не ждёт.
    Зря, мы свою работу сделали. Вы теперь каждый раз будете переставлять систему, как только заразитесь?
    Наша служба, будто сердце, отдыха не знает никогда.

  • Уважаемый(ая) APlayer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вымогатель номер МТС 8-988-503-82-35
      От UnderIceStorm в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.06.2011, 22:05
    2. sms-вымогатель баннер на номер 8353
      От fertuciy в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 10.05.2010, 10:46
    3. СМС- вымогатель номер 3649 текст 2146
      От akalibr в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.01.2010, 07:27
    4. СМС вымогатель на номер 7373
      От gohnny в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.01.2010, 22:05
    5. Ответов: 5
      Последнее сообщение: 30.12.2009, 00:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01307 seconds with 21 queries