Злой Вирус

Printable View

27.11.2009, 10:29
Dim7777

Злой Вирус

Поймал вирус на новый нетбук выданный на работе.
Вероятно, после скачивания с бесплатного сайта Zip-архиватора.
Вирус блокирует запуск всех приложений (в т.ч. антивирусных).
Появлеяется окно порно-рекламы с просьбой отправить СМС на номер.

Я заходил на сайт доктор Веб, там такого номера нет в генераторе кода.
Пытался в БИОСЕ изменить дату на день впредед или назад (по совету с сайта) не помогло.
Пытался восстановить систему -функция не работает (заблокирована).
Комбинация Cntr-Alt-Del тоже блокирована, т.е. список процессов не показывает.

Скачал с сайта утилиты AVZ, Dr Web они не запускаются.
Запустилась утилита Hijack
Вот ее отчет
В прикрепленном файле.

Я пробывал запустить игры (встроенные на Пк) они запустились, так же как и Power Point.
Остальные файлы блокируется.

HELP!
27.11.2009, 10:37
Dim7777

На нетбуки стоял обновленный антивирус Outpost (антивирус + firewall)
Я его пытался запустить в безопасном режиме не запускается.
27.11.2009, 10:38
Ingener

Пофиксите в HijackThis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\oKXMk.dll[/CODE]
Перезагрузите компьютер.

После этого дожна запуститься AVZ - сделайте все логи по правилам.
27.11.2009, 11:30
Dim7777

Сделал, как Вы сказали.
Запустил AVZ. !!!!

Вот отчет прикрепленный
Файл virusinfo_syscure

Хотел прикрепить файл virusinfo_cure, но он большой 10 МБайт.
27.11.2009, 11:46
Ingener

[QUOTE]Хотел прикрепить файл virusinfo_cure, но он большой 10 МБайт.[/QUOTE]
Это карантин его прикреплять не нужно.

1) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\Installer\20fd6e.msi','');
QuarantineFile('C:\Program Files\Common Files\Windows Live\.cache\5a9868361c9f620\fssclient_x86.msi','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\oKXMk.dll','');
DeleteFile('C:\WINDOWS\system32\oKXMk.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\Common Files\Windows Live\.cache\5a9868361c9f620\fssclient_x86.msi');
DeleteFile('C:\WINDOWS\Installer\20fd6e.msi');
DeleteFile('E:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
3) Сделайте все новые логи по правилам:
- virusinfo_syscure.zip
- virusinfo_syscheck.zip
- hijackthis.log
27.11.2009, 12:43
Dim7777

Файл отправил. Парол я не ставил!
Т.к. не стал архив распоковывать и заново паковать, на всякий случай.

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

[B]Ingener[/B] Спасибо большое за помощь

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Вот новые отчеты (логи)
27.11.2009, 12:45
Dim7777

Вот отчеты
27.11.2009, 12:52
Ingener

[CODE]Файл отправил. Парол я не ставил!
Т.к. не стал архив распоковывать и заново паковать, на всякий случай.[/CODE]
Карантин получили.

Сейчас посмотрю логи.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

В логах чисто.
Проблема полностью решена?

Рекомендации:
1) Установите Internet Explorer 8.
2) Ознакомьтесь с этой темой: [url]http://virusinfo.info/showthread.php?t=30339[/url]
27.11.2009, 13:55
Dim7777

Еще раз спасибо.
Насколько я понял из отчета ноутбук изличился успешно.
Вот только Файл virusinfo_syscheck я не нашел.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 2 минуты[/I][/B][/color][/size]

Спасибо все работает.
Буду ставить другой антивирус. И воспользуюсь вашими советами.

Best regards
28.11.2009, 13:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.addj[/B] ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Backdoor.Bot.110588, AVAST4: Win32:Malware-gen )[*] e:\autorun.inf - [B]Trojan.Win32.AutoRun.oc[/B] ( BitDefender: Trojan.AutorunINF.Gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]