Вирус. "Вышлите sms..."

Printable View

23.01.2009, 22:11
pick_and_roll

Вложений: 3

Вирус. "Вышлите sms..."

Родственник подцепил через аську вирус. При загрузке винды блокируется доступ к рабочему столу, к ctrl-alt-del. Только окно с надписью "Не в коем случае не выключайте компьютер.... вышлите sms для пароля..."
В безопасном режиме винда грузится нормально. Делал проверку с помощью свежих cureit и avp tool, какие-то вирусы нашлись, но проблема при обычной загрузке осталась.
Что делать?
23.01.2009, 22:17
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\lsasss.exe','');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\lsasss.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
24.01.2009, 17:16
pick_and_roll

Вложений: 3

Скрипт запустил, винда стала грузится в обычном режиме нормально. Вот логи.
24.01.2009, 17:22
light59

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll (file missing)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
[/CODE]

Установите Adobe Acrobat 9, либо удалите старый.
По логам ничего плохого не вижу.
28.01.2009, 00:23
AndreyKa

C:\DOCUME~1\86C2~1\LOCALS~1\Temp\lsasss.exe = Trojan-PSW.Win32.LdPinch.gou
Поменяйте все пароли.
22.02.2009, 10:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\86c2~1\\locals~1\\temp\\lsasss.exe - [B]Trojan-PSW.Win32.LdPinch.gou[/B][/LIST][/LIST]