Банер с вымоганием денег на счет

**wizzard** · 20.08.2010, 17:33

Внизу справа появилось окно с просьбой перечислить деньги на счет.
Разблокировку провел. Нашел где-то на сайте вебера код разблокировки.
Ввел код. После начал чистить систему, так как гугл хром закрывался, а IE выдавал ошибку 0000005 и тоже не запускался.
Удалил какой-то левый запуск из Run. (имя случайное)
Удалил запуск 2 файлов из UserInit.(имена случайные)
Нашел подозрительный файл znakkvvu.sys.
Стоял в скрытых драйверах системы. Удалил.
После перезагрузки висел модулем ядра.
Остановил сервис. Удалил его.
Удалил все временные файлы в папке Temp. В том числе и те, что указаны avz в логах.
Отправил файл касперу. Распознался как Rootkit.Win32.Agent.biiu.
Удалил из папки IE какой-то еще файл - прочел здесь же про него.
Что файл левый, определил по дате создания.
Но проблемы остались. В частности не заходит на сайт virusinfo.info, drweb.ru, kaspersky.ru. Хром закрывается через минуту полторы работы (опаньки произошла ошибка, до этого просто НЕ открывался).
Не запускается DrWeb Cure It и не обновляется avz ни через какие сайты.
В логах ничего не увидел. Проверил каждый подозрительный файл - ничего. Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 20.08.2010, 17:49

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%System32%\Drivers\sfc.SYS','');
 DeleteFile('%System32%\Drivers\sfc.SYS');
 QuarantineFile('%system32%\sfcfiles.dll','');
 RenameFile('%system32%\sfcfiles.dll', '%system32%\sfcfiles.bak');
 CopyFile('%system32%\dllcache\sfcfiles.dll', '%system32%\sfcfiles.dll');
 DeleteFile('%system32%\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
Executerepair(14);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Сделайте новый лог virusinfo_syscheck.zip

**wizzard** · 20.08.2010, 20:36

Новый лог и карантин отправил.
Карантин отправил как написано и приложил к сообщению.
Обновил avz с др. компа появилась такая красная строчка -
Обнаружен статический маршрут к сайту производителя антивируса
Профиксил через AVZ Файл-Восстановление системы п.20.
При повторной проверке красная строчка исчезла.
Но сайты антивирусов все равно не открываются.
Приложил созданный последней версией с последними базами virusinfo_syscheck.zip

**Шапельский Александр** · 20.08.2010, 22:05

Выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip

**PavelA** · 20.08.2010, 22:23

virus.zip - отсюда уберите, как присылать Вам написали.

**thyrex** · 21.08.2010, 12:09

А также

Сделайте лог полного сканирования МВАМ

**wizzard** · 21.08.2010, 22:58

Высылаю результаты уже с "больного" компьютера.
Карантин прислал по правилам.
Поставил Касперского.

**thyrex** · 21.08.2010, 23:56

Сообщение №6 прочтите и выполните

**wizzard** · 24.08.2010, 09:19

В папке logs программы указанной в мануале пусто.
Результаты сканирования сохранил.
Прилагаю в виде вложения.

**polword** · 24.08.2010, 09:31

1. удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\MS Sertified app (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\LtuSoftware (Malware.Trace) -> No action taken.

Зараженные папки:
C:\Documents and Settings\All Users\Application Data\SalesMon (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Application Data\SalesMon\Data (Rogue.Multiple) -> No action taken.
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.
C:\Program Files\ConnectionServices (Trojan.BHO) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\Роман\Рабочий стол\info\znakkvvu.sys (Rootkit.Bubnix) -> No action taken.
C:\Program Files\ConnectionServices\Uninstall.exe (Trojan.BHO) -> No action taken.
C:\Documents and Settings\Роман\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\TempDir\rdb.bat (Trojan.Ransom) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\TempDir\start.bat (Trojan.Ransom) -> No action taken.

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте повторный лог MBAM

**wizzard** · 24.08.2010, 18:37

Скан провел. Логи прилагаю.

**Шапельский Александр** · 24.08.2010, 18:58

В логах чисто, что с проблемой?

**wizzard** · 24.08.2010, 19:03

Работаем под антивирем. Все хорошо. Вроде не ругается.
Вирь прикольный. Я больше сам их удаляю, но этот мне понравился.

**polword** · 24.08.2010, 19:13

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

**wizzard** · 25.08.2010, 17:16

Все установил.

**CyberHelper** · 26.08.2010, 17:16

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 7
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\sfcfiles.dll - Trojan-Spy.Win32.Agent.bism ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )

Рекомендации: