Блокирует работу windows

Printable View

27.12.2008, 23:52
Serp

Вложений: 3

Блокирует работу windows

Сразу после загрузки компа работа блокируется и появляется сообщение, якобы от Microsoft, с требованием активировать работу windows посредством отправки sms сообщения.
При желании могу выложить полный текст сообщения.

при перезагрузке в безопасном режиме проверил AVPTool (в системе стоит DrWeb) - он нашел только карантин DrWeb-а.

Я удалил из реестра показавшиеся подозрительными ключи:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Generic Host for Win32 Services"="C:\\WINDOWS\\winreg.exe"
"KernelFaultCheck"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,\ 00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,64,00,75,00,6d,00,70,00,72,00,65,00,70,00,20,00,30,00,20,00,2d,00,6b,\
00,00,00

После этого сообщение от MS больше не появлялось.
Проделал манипуляции согласно правилам.
28.12.2008, 00:44
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{BA5D8DF9-1851-4660-B3AE-89E6E030AC34}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
DeleteService('krdpdre');
QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\krdpdre.sys','');
QuarantineFile('c:\windows\system32\drivers\ntndis.exe','');
DeleteFile('c:\windows\system32\drivers\ntndis.exe');
DeleteFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\krdpdre.sys');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\pagepromoterbar.dll');
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
28.12.2008, 01:18
Serp

Вложений: 2

Результат загрузки
Файл сохранён как 081228_011153_virus_4956a829cd461.zip
...
Файл закачан, спасибо!

Логи:
28.12.2008, 10:05
Aleksandra

Ничего зловредного в логах нет.
28.12.2008, 14:51
Serp

Спасибо! :)
22.02.2009, 09:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ntndis.exe - [B]Backdoor.Win32.IRCBot.han[/B] (DrWEB: Trojan.PWS.Panda.5)[*] c:\\windows\\system32\\twext.exe - [B]Trojan-Spy.Win32.Zbot.itq[/B] (DrWEB: Trojan.PWS.Panda.5)[/LIST][/LIST]