Информер от brazzers.com

**OlegMal** · 05.06.2010, 23:38

Здравствуйте. На рабочем столе стоит информер-вымогатель 4612502 на номер 5121. Загрузиться в безопасном режиме не возможно, диспетчер задач блокирован, проверка DrWb LaveCD ничего не дала. AVZ запускается, но ничего выполнить в нем нельзя. Не могли бы вы посоветовать с чего начать.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 06.06.2010, 00:58

По этой инструкции http://virusinfo.info/showthread.php?t=51777 проверьте содержимое параметра shell. Оно должно быть explorer.exe и ничего более

**OlegMal** · 06.06.2010, 18:01

Сделал логи. Посмотрите пожалуйста.

**thyrex** · 06.06.2010, 19:15

Что-нибудь пришлось в реестре исправлять?

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
 QuarantineFile('C:\WINDOWS\ccqowk.tmp','');
 DeleteFile('C:\WINDOWS\ccqowk.tmp');
 DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\WINDOWS\system32\vksaver.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Кроме блокера, у Вас еще и вор паролей. Смените все пароли

Сделайте новые логи (попробуйте обычный AVZ с обновленными базами) + лог gmer

**OlegMal** · 06.06.2010, 22:26

Да, в реестре правил параметр shell. Запрошенные логи прилагаю. Карантин выслал.

**thyrex** · 06.06.2010, 22:44

Сообщение от OlegMal

Да, в реестре правил параметр shell

Что было приписано. Это важно и тоже требует карантина и удаления

При создании лога gmer никаких лишних меток не снимали? С Registry, например?

**OlegMal** · 06.06.2010, 23:17

Помимо Explorer.exe была еще строка C\Program files\TotalComander\.....\total.exe , что то тип этого, ну лоханулся я и не скопировал

Меток в gmere я не снимал, но при запуске он мне выдал окно "" Warning!GWER has found system modification, which might have been by ROOTKIT AKTIVITY. dOU YOU TO FULLY SCAN YOUR SYSTEM?"" и вбыл выделен красным файл system32\drivers\SKYNET cpxuwqpm.sys (***hidden***) Я нажал нет. Может надо было продолжить?

**thyrex** · 07.06.2010, 00:22

Сообщение от OlegMal

Может надо было продолжить?

Конечно. Нажать Нет, а потом Scan и выполнить полную проверку

Скорее был такой путь C:\Program files\Common Files\TotalComander\total.exe. Сам файл не удаляли, надеюсь?

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**OlegMal** · 07.06.2010, 13:35

Файлы не удалял. Логи прилагаю

**thyrex** · 07.06.2010, 14:03

Поищите папку, в которой есть файл times.txt и укажите полный путь к нему

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)

Код:

gmer.exe -del service SKYNETsswqqhbl
gmer.exe -del file "c:\windows\system32\drivers\SKYNETcpxuwqpm.sys"
gmer.exe -del file "c:\windows\system32\SKYNETfoboieli.dll"
gmer.exe -del file "c:\windows\system32\SKYNETrfquftit.dat"
gmer.exe -del file "c:\windows\system32\SKYNETevpnmdbs.dll"
gmer.exe -del file "c:\windows\system32\SKYNETikewondv.dat"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETsswqqhbl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\SKYNETsswqqhbl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\SKYNETsswqqhbl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\SKYNETsswqqhbl"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETsswqqhbl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\SKYNETsswqqhbl"
gmer.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

**OlegMal** · 07.06.2010, 15:19

thyrex, путь к папке times.txt здесь выложить или мне его надо где-то прописать?

**thyrex** · 07.06.2010, 15:54

Выложить здесь. Только times.txt - это файл, а не папка

**OlegMal** · 07.06.2010, 18:04

Запрошенный файл не нашел. Лог прилагаю.

**thyrex** · 08.06.2010, 00:07

На кнопку Scan снова забыли нажать?

**OlegMal** · 08.06.2010, 07:40

Scan я нажимал, высылаю повторный лог, сделал сейчас.

**thyrex** · 08.06.2010, 15:54

Чисто

Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)

**OlegMal** · 08.06.2010, 17:52

thyrex, Спасибо за помощь, все работает без тормозов. Сын остался доволен. Тему можно закрывать.

**CyberHelper** · 09.06.2010, 17:52

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 7
В ходе лечения вредоносные программы в карантинах не обнаружены

Информер от brazzers.com (заявка № 80258)

Опции темы

Информер от brazzers.com

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Информер

Информер

Информер с СМС

Информер

Информер

Ваши права в разделе