И снова рекламный модуль (отправь СМС....)

[vas2009]

Здравствуйте!

Снова поймал троян ( тот что - рекламный модуль),опять порно банер,правда теперь другой.
Просит отправить 2 смс с текстом 1830381331605 на номер 3381.
Блокируется всё: диспетчер задач,рабочий стол,панель пуск + Загрузка ЦП 100%

Жду вашей помощи !!!
хелп

[thyrex]

1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

параметр

Код:

AppInit_DLLs

Содержимое этого параметра напишите в своем сообщении

Также проверьте с помощью ERD Commander значение параметра userinit в этой ветке реестра

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Напишите его значение в своем сообщении

[vas2009]

посмотрел

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
appinit_Dlls - нету такого параметра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
С:\WINDOWS\system32\userinit.exe,

[thyrex]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
appinit_Dlls - нету такого параметра

Плохо смотрели. Пользовались ERD Commander?

[vas2009]

Пользовался диском с ERD Commander.
Забыл ,что переименовал этот параметр, когда в прошлый раз боролся с трояном.

содержимое параметра пусто

[thyrex]

Попробуйте проверить через Администрирование в ERD Commander

[vas2009]

посмотрел,всё тоже самое

[thyrex]

Пробуйте http://support.kaspersky.ru/viruses/deblocker

[vas2009]

хм странно,записал пароли с предложенного вами сайта,перезагрузился чтобы попробовать их,а баннера и нет больше.Но загрузка ЦП 100%.Грузит систему - процесс svchost.exe.

щас сделаю логи и скину

[vas2009]

комп жутко тормозит
вот логи которые смог сделать

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 SetAVZPMStatus(true);
 QuarantineFile('C:\Documents and Settings\Я\Главное меню\Программы\Автозагрузка\sisxvy32.exe','');
 QuarantineFile('C:\DOCUME~1\F240~1\LOCALS~1\Temp\~TM11.tmp','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
 DeleteFile('C:\Documents and Settings\Я\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
 DeleteFile('C:\DOCUME~1\F240~1\LOCALS~1\Temp\~TM11.tmp');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log) в нормальном режиме сделайте

[vas2009]

Всё выполнил,карантин выслал.

Что далее ???

[vas2009]

И вот ещё,что хотел спосить:
При загрузке системы вылетает папка Adobe (C:\Program Files\Common Files\Adobe)
Не подскажите как убрать её?

[polword]

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {1FD79A59-37B1-459B-9097-09F9FAB8A523} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\dwprot.sys','');
 QuarantineFile('C:\WINDOWS\system32\Mam3Pan.Exe','');
 QuarantineFile('C:\Program Files\Common Files\Adobe Soft\myips.exe','');
 DeleteFile('C:\Program Files\Common Files\Adobe Soft\myips.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log

[vas2009]

Скрипты выполнил,
карантин отправил,
новые логи сделал.

Папка adobe исчезла из загрузки,
комп вроде стал работать стабильно.
Ставьте диагноз =)

[polword]

Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

[vas2009]

Уязвимости не обнаружены.

Огромное спасибо за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\я\главное меню\программы\автозагрузка\sisxvy32.exe - Packed.Win32.Krap.ar ( DrWEB: Trojan.Botnetlog.126, AVAST4: Win32:MalOb-BH [Cryp] )
  2. c:\docume~1\f240~1\locals~1\temp\~tm11.tmp - Trojan-Ransom.Win32.PinkBlocker.bqx ( DrWEB: Trojan.Packed.20343, BitDefender: Gen:Variant.Bredo.3, AVAST4: Win32:Malware-gen )