Букет винурос

Printable View

30.10.2009, 19:30
art1k

Букет винурос

Добрый день.
На компьютере появился вирус, после загрузки системы появляется прозрачный экран с текстом, что у меня стоят нелецинзионные программы нужно купить ключ по смс и просит ввести код активации. Сеть не видно :( Подозреваю, что вирус не единственный. :D

Пробовал с помощью AVZ удалить его самостоятельно, не вышло :(
30.10.2009, 20:01
Белый Сокол

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\docume~1\marry\applic~1\ufastd~1\propet~1.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-9047759677-0356787157-127449354-8926\isl.exe','');
QuarantineFile('C:\WINDOWS\system32\pqrs.tmo','');
QuarantineFile('c:\docume~1\marry\applic~1\ufastd~1\propet~1.exe','');
DeleteFile('c:\docume~1\marry\applic~1\ufastd~1\propet~1.exe');
DeleteFile('C:\WINDOWS\system32\pqrs.tmo');
DeleteFile('C:\RECYCLER\S-1-5-21-9047759677-0356787157-127449354-8926\isl.exe');
BC_ImportDeletedList;
ExecuteSysClean;
executeRepair(6);
executeRepair(9);
executeRepair(8);
executeRepair(16);
executeRepair(11);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

[U][B]Обновите базы AVZ[/B][/U] и подготовьте новые логи.
30.10.2009, 21:50
art1k

Все выполнил, сообщение про нелицензионное ПО исчезло. Сеодинение с сетью появилось. Однако шлюз не пингуется.

Забыл написать, сеть не работает, все настройки сети - правильные.
31.10.2009, 11:45
Белый Сокол

1) Нажмите[B] Пуск[/B] >>> [B]Программы[/B] >>> [B]Стандартные[/B] >>> [B]Служебные[/B] >>> [B]Очистка диска[/B],
2) Выберите системный диск С. Нажмите "ОК". Дождитесь окончания анализа,
3) На вкладке [B]Дополнительно[/B] >>> [B]Восстановление системы[/B] >>> [B]Очистить[/B],
4) На запрос о подтверждении нажмите "Да".

Сделайте новые логи.
04.11.2009, 15:17
art1k

все сделал.

з.ы. прочитал название темы, посмеялся :) Конечно же это опечатка, имелось в виду "Букет вирусов" :D
04.11.2009, 19:40
Rene-gad

- Отключите Системное восстановление [COLOR="Red"][B]и на диске D:\[/B][/COLOR]

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('F:\autorun.inf','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

После перезагрузки:

- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
05.11.2009, 17:42
art1k

Восстановление отключил.
После выполнения скрипта, действительно появилось новое устройство - удалил.
Вот что обнаружил в диспетчере устройств:
05.11.2009, 18:50
Rene-gad

[QUOTE=art1k;501536]
Вот что обнаружил в диспетчере устройств[/QUOTE]А что Вас тут смутило? Проблема решилась?
05.11.2009, 20:21
art1k

Неа, проблема не решилась, сети нет :(

Смущает наличие множества нерабочих устройств, хотя по-идее есть только 1 сетевая плата.

Удалил, установил сетевуху в деспетчере заново - все заработало. Спасибо большое за решение проблемы.
06.11.2009, 20:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\marry\applic~1\ufastd~1\propetyufastmanager.exe - [B]Trojan-Ransom.Win32.SMSer.qm[/B] ( DrWEB: Trojan.Winlock.412, NOD32: Win32/LockScreen.CS trojan, AVAST4: Win32:Malware-gen )[*] c:\docume~1\marry\applic~1\ufastd~1\propet~1.exe - [B]Trojan-Ransom.Win32.SMSer.qm[/B] ( DrWEB: Trojan.Winlock.412, NOD32: Win32/LockScreen.CS trojan, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-9047759677-0356787157-127449354-8926\isl.exe - [B]P2P-Worm.Win32.Palevo.ann[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2638233, NOD32: Win32/Peerfrag.ET worm, AVAST4: Win32:Rimecud-B [Wrm] )[*] c:\windows\system32\pqrs.tmo - [B]Backdoor.Win32.Bredavi.apo[/B] ( DrWEB: Trojan.Mylbot.4, BitDefender: Trojan.Generic.2616845, NOD32: Win32/Oficla.AP trojan, AVAST4: Win32:Oficla-D [Trj] )[/LIST][/LIST]