uFast

Printable View

30.10.2009, 10:15
tATIK

uFast

Добрый день. Вам уже приходилось решать такую проблему.

На пол экрана полупрозрачное окно:

Доступ в интернет заблокирова в связи с нарушением лицензионного соглашения программы uFast Download Manager
Вам необходимо активировать вашу копию

чтобы получить регистрационный код отправите смс с кодом (код при этом не указан!!!) на номер 7122

Даже не знаю, с чего начать...
При переходе в безопасный режим работать вообще невозможно, окно растягигается на весь экран... Можно ли произвести все те действия, которые указаны в правилах в обычном режиме?
Помогите, пожалуйста.
30.10.2009, 10:36
PavelA

Логи надо по Правилам прислать, тогда проще помочь Вам будет.
30.10.2009, 12:15
tATIK

Вложений: 1

Вот логи.
30.10.2009, 12:20
gjf

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin\APPLIC~1\UFASTD~1\PROPET~1.EXE
O4 - Startup: zavupd32.exe[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
TerminateProcessByName('c:\documents and settings\admin\restor32a.exe');
TerminateProcessByName('c:\windows\temp\wpv591255703227.exe');
TerminateProcessByName('c:\docume~1\admin\applic~1\ufastd~1\propet~1.exe');
TerminateProcessByName('c:\windows\system32\restor32a.exe');
TerminateProcessByName('c:\documents and settings\admin\application data\seres.exe');
TerminateProcessByName('c:\documents and settings\admin\application data\svcst.exe');
QuarantineFile('C:\WINDOWS\system32\restor32a.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv591255703227.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\svcst.exe','');
QuarantineFile('C:\Documents and Settings\Admin\restor32a.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\zavupd32.exe','');
QuarantineFile('c:\windows\temp\wpv591255703227.exe','');
QuarantineFile('c:\documents and settings\admin\application data\seres.exe','');
QuarantineFile('c:\docume~1\admin\applic~1\ufastd~1\propet~1.exe','');
DeleteFile('c:\docume~1\admin\applic~1\ufastd~1\propet~1.exe');
DeleteFile('c:\windows\system32\restor32a.exe');
DeleteFile('c:\documents and settings\admin\restor32a.exe');
DeleteFile('c:\documents and settings\admin\application data\seres.exe');
DeleteFile('c:\documents and settings\admin\application data\svcst.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restor32a');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\zavupd32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restor32a');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16); {восстановление ключа запуска explorer}
ExecuteRepair(17); {разблокировка редактора реестра}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
[b]- Обновите базы AVZ!!![/b]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
01.11.2009, 09:24
tATIK

Окно с сообщением исчезло, а выхода в интернет так и нет.
01.11.2009, 10:51
PavelA

Профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin\APPLIC~1\UFASTD~1\PROPET~1.EXE[/CODE]
01.11.2009, 12:26
tATIK

Вот новые логи.
01.11.2009, 18:18
gjf

Выполните скрипт:
[CODE]
begin
ExecuteRepair(11); {разблокировка диспетчера задач}
end.[/CODE]

Что с проблемой? Если всё ещё присутствует - [URL="http://virusinfo.info/showthread.php?t=40118"]сделайте лог с помощью GMER.[/URL]
[I]gmer.log[/I]
02.11.2009, 12:37
tATIK

Вложений: 3

Диспетчер задач разблокирован, а выхода в Интернет по-прежнему нет. Цитата: "Не удается получить параметры протокола TCP/IP".
[B] [/B]
02.11.2009, 12:47
gjf

[QUOTE=gjf;498333]Если всё ещё присутствует - [URL="http://virusinfo.info/showthread.php?t=40118"]сделайте лог с помощью GMER.[/URL]
[I]gmer.log[/I][/QUOTE]
И где он?
02.11.2009, 13:47
tATIK

Вот он.
02.11.2009, 14:01
gjf

В логах ничего вредоносного не обнаружено. Попробуйте удалить и создать заново подключение к Интернет.
02.11.2009, 14:04
tATIK

А что делать, если его не удается удалить?
02.11.2009, 14:12
gjf

Что значит не удаётся? Что пишет, как удаляете - подробнее!
02.11.2009, 20:26
thyrex

Выполните скрипт в AVZ
[code]begin
ExecuteRepair(14);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Что с доступом в Интернет?
03.11.2009, 09:02
tATIK

Все получилось.) Спасибо вам огромное за все.
03.11.2009, 10:48
gjf

Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние [URL="http://update.microsoft.com"]обновления системы Windows[/URL] и используемых программ. И вообще, постарайтесь выполнить все советы, [URL="http://virusinfo.info/showthread.php?t=30339"]указанные здесь[/URL] - это максимально отдалит время нашей следующей с Вами встречи :)
04.11.2009, 10:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]