вымогатель на вконтакте

**cibo** · 07.06.2010, 12:34

День добрый.

На меня напал вымагатель. Он прописался по адресу vkontakte.ru при заходе на сайт вижу.

Уважаемый пользатель! С Вашего аккаунта была замечена неоднократная SPAM рассылка! В связи с этим Ваша страница была времено заблокирована, для разблокировки Вашего аккаунта Вам необходимо отправить SMS с текстом 162002 на номер 3381. Напоминаем, что мы в праве удалять неактивные аккаунты в течении 2х недель.
С уважением, администрация Сайта ВКонтакте.

Я уже пробовал отправлять смс в итоге -300р.

Когда поймал эту фигню. Быстро открылся какойто блакнот с ипишниами и закрылся.
Вот что нашел в "выполнить"

notepad.exe C:\WINDOWS\system32\drivers\etc\hosts
cmd /c attrib -h "C:\Windows\system32\drivers\etc\hosts" && echo 127.0.0.1 localhost>C:\Windows\system32\drivers\etc\hosts && erase C:\Windows\system32\drivers\etc\hosts.txt

уже просканировал комп avp он нашел несколько вирусов. Но все равно контакт требует денег.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 07.06.2010, 12:39

Внимательно прочитайте и аккуратно выполните

**cibo** · 07.06.2010, 14:10

Извеняюсь

**polword** · 07.06.2010, 14:40

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\Documents and Settings\cibo\Local Settings\Temp\ygiuqx.exe','');
 QuarantineFile('C:\WINDOWS\Temp\~TM27.tmp','');
 DeleteFile('C:\Documents and Settings\cibo\Local Settings\Temp\ygiuqx.exe');
 QuarantineFile('C:\Documents and Settings\cibo\Local Settings\Temp\F9C.tmp','');
 QuarantineFile('C:\WINDOWS\system32\sol.exe','');
 QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe','');
 QuarantineFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe','');
 QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
 QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe','');
 QuarantineFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe','');
 QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
 QuarantineFile('C:\Driver\Files\zerX.exe','');
 QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe','');
 QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe','');
 QuarantineFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe','');
 QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe','');
 QuarantineFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe','');
 QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe','');
 QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe','');
 QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe','');
 QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe','');
 QuarantineFile('C:\WINDOWS\system32:vcrt80.exe','');
 QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
 QuarantineFile('abod.exe','');
 QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
 DeleteFile('C:\WINDOWS\system32\srnh.lto');
 DeleteFile('C:\WINDOWS\system32:vcrt80.exe');
 DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');
 DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe');
 DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
 DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe');
 DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe');
 DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
 DeleteFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe');
 DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
 DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
 DeleteFile('C:\Driver\Files\zerX.exe');
 DeleteFile('C:\BIN\RECYCLE\Bin.exe');
 DeleteFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe');
 DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe');
 DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
 DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
 DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
 DelCLSID('{0922162D-E289-17F9-6283-EAE70BDE63D2} ');
DelCLSID('{23KLN5J0-4OPM-11WE-AAX5-24EF1D187332} ');
DelCLSID('{23KLN5J0-4OPM-11WE-AAX5-24EF1F187332} ');
DelCLSID('{23KLN5J0-4OPM-11WE-AAX5-24EF1F387232} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C635622} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C987192} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C644141} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C644241} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A322142} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC3A187132} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D157322} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187332} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187562} ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(16);
 ExecuteRepair(20);
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

**cibo** · 07.06.2010, 16:11

Все выпонил. вконтак все равно незаходит.(ообщение не пропало)

**thyrex** · 07.06.2010, 16:27

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-90401C608512}');
 QuarantineFile('C:\thumbs.db','');
 QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe','');
 DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
 DeleteFile('C:\thumbs.db')
DeleteFile('C:\WINDOWS\system32\Drivers\etc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи