-
Junior Member
- Вес репутации
- 53
Смс Вирус, блокирующий систему.
Здравствуйте! Помогите пожайлуста избавиться от вируса. Словил его на ноутбуке: при запуске системы на весь экран выводиться сообщение с черными фоном, требующее отправить смс. Заголовок: Оплатите заказанное ПОРНО видео! Просят отправить СМС с текстом 585359536 на номера Россия: МТС 1350, для остальных операторов 3353 или 8355, Украина - 7139. Вообще пробовал загружаться в безопасном режиме с поддержкой командой строки - загрузился черный фон и Cmd.exe -прописал explorer.exe -тоже открылся (мой компьютер), далее запустил Dr.WEB 5.0 -просканировал - ничего не нашел. Далее установил с флешки ccleaner -зачистил реестр и файлы ненужные, из автозагрузки убрал все лишнее. Вот что еще странно я зашел как "администратор", но в папку Application data и вроде бы Local settings, Document settings не заходит -пишет "отказано в доступе". Название вируса на сайте Доктора Веба не смог найти, сгенерированный код по тексту сообщения не помог. Читал статьи о программе AVZ - вроде многим помогло - но проблема в том что не знаю какой именно скрипт использовать. Прошу помощи и поддержки. Если что задавайте вопросы я отвечу, кстати операционнка на ноуте Vista home. Диспетчер задач не включить в обычном загрузке системы, в безопасном режиме включал с помощью программы AnVir.
Добавлено через 31 минуту
Прошу прощения, я поздновато прочитал правила. Сейчас выполню все действия которые написаны там и добавлю в тему файлы.
Последний раз редактировалось Ponchoman; 26.01.2010 в 19:48.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
Еще не совсем, я зашел в безопасный режим с поддержкой командной строки и просканил AVPTool после чего перезагрузился и о чудо! Сообщение пропало а вместо этого комп начал постоянно загружаться в безопасном режиме(даже если жму после перезагрузки F8 и нажимаю "обычная загрузка Windows" все равно заходит в безопасный режим), но зато уже с поддержкой рабочего стола и меню пуск (ууфф уже прогресс), после в Твикере Windows разрешил поддержку диспетчера задач - работает. Затем я установил (предварительно удалив Dr.Web) Avast 5.0 Free -обновил вирусную базу, настроил, просканировал, перезагрузился и почему то служба avasta "AvastSvc.exe" удалилась ( когда запускаю антивирус - нельзя сканировать так как не запустилась служба), запускал в антивирусе никакого эффекта - такое чувство ее удалил вирус при перезагрузке - об отключении службы и ее исчезновении я узнал от программы AnVir, сейчас просканирую еще раз AVPTool а затем воспользуюсь программами AVZ и HiJack как написано в правилах и пришлю логи, Уважаемые администраторы - спасибо за то что вы мне помогаете!
Последний раз редактировалось Ponchoman; 26.01.2010 в 20:55.
-
Пока, ещё не помогаем, но если сделаете логи, то попробуем.
-
-
Junior Member
- Вес репутации
- 53
В начале когда установил AVZ просканировал с ее помощью все локальные диски, затем перезагрузился и выполнил действия которые были написаны в "Правилах".
Примечание: HiJackом не фиксил - просто сделал лог, и еще вроде бы я забыл включить браузер когда пользовался AVZ - если понадобиться то могу сделать логи заново.
Состояние компьютера таково что он постоянно загружается в безопасном режиме (даже если нажимаю "В обычном" с помощью F8 перед запуском системы), сообщение об отправке смс больше не появлялось с тех пор как просканировал при помощи утилиты Касперского - сейчас загружается в безопасном режиме, подскажите пожайлуста как решить проблему. И как потом лучше поступить чтобы хоть как то устранить последствия данного вируса. Заранее благодарен! И еще прошу прощения за мою безграмотность оформления, я на вашем форуме новичок - буду стараться!
Последний раз редактировалось Ponchoman; 27.01.2010 в 02:03.
-
Сообщение от
Ponchoman
Состояние компьютера таково что он постоянно загружается в безопасном режиме (даже если нажимаю "В обычном" с помощью F8 перед запуском системы),
Логи сделаны в Нормальном режиме. Как вам это удалось?
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteRepair(6);
ExecuteWizard('TSW', 2, 2, true);
DelCLSID('{FB248292-C5AA-41AD-A6CF-9CDB4F895C4F}');
DelCLSID('{93C9BD2B-E76B-47F9-9977-864F99FA6E7B}');
QuarantineFile('C:\Windows\system32\xkjlib.dll','');
QuarantineFile('C:\Windows\system32\xselib.dll','');
DeleteFile('C:\Windows\system32\xselib.dll');
DeleteFile('C:\Windows\system32\xkjlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файл virusinfo_cure.zip через ссылку Прислать запрошенный карантин вверху темы.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Установите Service Pack 1 и 2 на Windows.
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт, перезагрузился вот запрашиваемый файл:
Файл сохранён как 100127_194404_virusinfo_cure_4b606d54b83a3.zip
Размер файла 8985
MD5 9726826a1b9ebb6baa66f8c19c23aeb0
Подключился к интернету (проверил в окне браузера его активность), закрыл все программы (в том числе и браузер) и сделал лог как просили.
Компьютер все по-прежнему загружается в безопасном режиме, кстати до того как начать писать тему я делал восстановление системы и далее выполнял все по списку "Правил" (чистил утилилитой Касперского и. т. д.)
Насчет обновления:когда подключился к интернету в трее появился значок "доступны новые обновления" -нажимал на него много раз - ничего не произошло, пробовал нажимать "Windows update" такая же история, попытался в свойствах Компьютера "Система" "обновить windows vista" никакого эффекта ( даже ничего не произошло - даже окно не высветилось с предлагаемыми обновлениями).
Может это будет важно: вообще я на форум пишу с станционарного компьютера а тесты и все остальное делаю на ноутбуке и потом через флешку закидываю логи в станционар и отсылаю вам(флешку на всякий случай проверяю Avastом - ни разу ни чего не находил)
Может быть мне попробовать поискать Service pack 1 и 2 в Интернете и оттуда скачать? (на ноутбуке 32х разрядная система, значит и Service pack нужен тоже 32x?)
Если малоли у вас есть ссылки откуда можно скачать -пришлите пожайлуста.
Последний раз редактировалось Ponchoman; 27.01.2010 в 21:35.
-
-
-
Junior Member
- Вес репутации
- 53
Сначала я скачал эти обновления на станционарном компьютере и через флешку скинул на ноутбук, далее с флешки запустил установщик SP 1 - началась установка, пару раз перезагружался и в итоге на экране до загрузки виндоус была написана следущая фраза: " Пакет обновления не установлен, выполняется отмена изменений" - что то в этом роде.
Сообщение от
AndreyKa
Логи сделаны в Нормальном режиме. Как вам это удалось?
Кстати я кое что заметил - я попробовал запуститься (с помощью F8 -выбрал строку- "безопасный режим" до загрузки системы) и компьютер загрузился в "настоящий" безопасный режим - разрешение экрана уменьшилось ( 800 на 640 -вроде бы) и при загрузке всплыла справка о том что такое безопасный режим, а вот если я загружаю компьютер в так называемом "Обычном режиме" он загружается в безопасном, но с обычными настройками монитора (нормальное разрешение) и справка не всплывает - получается это какой то псевдо режим - не понятно.
После того как не удалось установить обновление я решил попробовать тоже самое сделать только не с флешки а с самого компьютера - предварительно скопировав их на диск D, но комп после неудавшегося обновления стал подглючивать и флешка стала подвисать и копирование стало не возможно, explorer тоже подвисал, тогда я решил попробовать в "Настоящем" безопасном режиме это сделать, все получилось я скопировал с флешки на диск D и начал заново устанавливать SP 1 и в конце получилось тоже самое что и в 1 случае -странно как то это все непонятно почему обновление до конца не устанавливается (установка шла около 4- 5 часов и в итоге сообщение - "пакет не установлен и т д")
Сейчас попробую заново сделать все логи но в уже "настоящем" безопасном режиме.
Малоли пригодиться: вот что написано в desktop.ini на рабочем столе
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21799
Последний раз редактировалось Ponchoman; 28.01.2010 в 23:51.
-
Сообщение от
Ponchoman
а вот если я загружаю компьютер в так называемом "Обычном режиме" он загружается в безопасном, но с обычными настройками монитора (нормальное разрешение) и справка не всплывает - получается это какой то псевдо режим - не понятно.
У меня возникает впечатление, что вы не установили драйвер видео карты.
+
Во время установки SP отключите Интернет и антивирус.
Последний раз редактировалось AndreyKa; 29.01.2010 в 00:56.
-
-
Junior Member
- Вес репутации
- 53
Драйвер установлен, насчет SP сделал как вы сказали - такая же история что и раньше, устанавливался, устанавливался и в итоге опять это сообщение: Не удалось установить пакет обновления, выполняется отмена изменений, да и все тот же безопасный режим - уже бесит =))), походу обычного режима мне не видать , windows решил применить контрацептивы +))))))))
-
Junior Member
- Вес репутации
- 53
Решил просто переустановить виндоус - все нормально, спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-