WinBlocker c номером +79879801586

Здравствуйте!

04.06.12 около 15 в процессе работы на машине активизировался winblocker.
Текст в его окне стандартный, но вместо смс на короткий номер, требовалось положить 500 рублей
через терминал оплаты на номер +79879801586 (МТС), при этом активационный код будет указан
в квитации(!) терминала. Выйти за пределы окна не удавалось, диспетчер задач не доступен, в защищенном режиме тоже самое.

Заявил об этом в МТС, обещали передать информацию в службу безопасности. Там же мне подсказали номер 8-800-250-00-15 - не расслышал какая организация, может агрегатор А1? Также сообщил о проишествии, но в базе у них такого номера не было.

Далее, проверил свежим DrWeb LiveCD - зловред не был найден. Касперский LiveCD почему-то вообще
не загрузился (kernel panic).

Загрузившись с Alkid LiveCD и запустив ERD registry editor, обнаружил в ветке
HKEY_USERS\sk.PHILKA\Software\Microsoft\Windows\CurrentVersion\Run поле,
указывающее на файл ms.exe (73 728 байт). Переименовал этот файл и переместил на другой диск.
Могу выслать.

В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
параметр userinit - c:\windows\system32\userinit.exe
параметр shell - Explorer.exe

Там же сделал экспорт веток HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run в отдельные файлы, если нужно.

После этого, Windows загрузилась штатно, выполнил все необходимые действия, указанные на сайте.


Спасибо.

Уважаемый(ая) [B]clim[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S269590');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S839656');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S15366190');
DeleteFile('C:\Documents and Settings\sk.PHILKA\ms.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Сделайте новые логи

Выполнил.

Обновления для системы почему не установили? Решили подождать очередного заражения? Так оно не за горами :)

clim, Здравствуйте!

[URL="http://virusinfo.info/showthread.php?t=53070"]Сделайте лог MBAM[/URL]

[B]thyrex[/B], думал почистить, а потом поставить все. Но мысль понял, установлю.

[b]clim[/b], Удалите в MBAM,только указанные строчки

[CODE]
Обнаруженные ключи в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Dropper) -> Действие не было предпринято.

Обнаруженные папки: 1
C:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> Действие не было предпринято.

Обнаруженные файлы: 44
C:\Temp\wpbt0.dll (Exploit.Drop) -> Действие не было предпринято.
[/CODE]


После обновления системы,сделайте новые логи по правилам.