SMS вымогатель на номер 5155

[APlayer]

Во вторник 12.01.10 подцепил SMS-вымогатель "Пришлите текст 592100041 на номер 5155". Спомощью Вашего сервиса разблокировки подобрал код к этому зверю. Не исключено, что остались хвосты в системе. Помогите при случае найти эти остатки. Логи прилагаю.
Также есть вопрос.
Система: XP Pro SP3, DrWeb 4.44 (базы обновляю ежедневно). При попытке скачать (распаковать, установить) QIP Infium RC4, Build 9032 с офф. сайта QIP'а антивирус ругается на наличие вируса Trojan.AVKill.origin. Саппорт QIP'а отреагировал на мой вопрос по этому поводу так - "Программа написана на Delphi....Всё ОК". Действительно ли всё нормально и безопасно?

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Admin\Cookies\userlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

4. Пофиксите в HijackThis:

O20 - Winlogon Notify: crypt - crypts.dll (file missing)

5. Повторите логи.

[APlayer]

После выполнения первого скрипта и перезагрузки системы начала вылезать системная ошибка "svchost.exe Application error 0x10002652....."
Выполнил второй скрипт AVZ и пофиксил пункты в HJT с трудом.
Компьютер не видит сетку и не выходит в интернет. Опера не запускается. Хотя сетевые подключения периодически появляются и правильно настроены (перезагружался раз 20). Сейчас идёт повторное сканирование AVZ'ом. Пишу с другого ПК.

[APlayer]

Очередные логи

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В HiJackThis пофиксите:

Код:

O20 - Winlogon Notify: crypt - crypts.dll (file missing)

В AVZ выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('crypts.dll','');
 QuarantineFile('E:\Connect\Christmas kaledos_0.exe','');
 QuarantineFile('Coxsmbpt.sys','');
BC_ImportAll;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

[APlayer]

большое спасибо за Вашу работу.
просто переустановил систему - работа не ждёт.

[Aleksandra]

просто переустановил систему - работа не ждёт.

Зря, мы свою работу сделали. Вы теперь каждый раз будете переставлять систему, как только заразитесь?