sms-вымогатель баннер на номер 8353

Printable View

07.05.2010, 15:04
fertuciy

sms-вымогатель баннер на номер 8353

Заранее спасибо большое за уделенное внимание!
Больше месяца назад перестал обновляться nod32. Четыре дня назад произошло странное: после включения компьютер перезагрузился, после чего самоустановился антивирус Microsoft Security Essentials. 2 дня назад этот антивирус нашел угрозу, и для излечения компьютера предлагал ввести серийник Windows или оплатить лицензию через смс или web money. Nod32 не был удален, но не запускался.
Вчера я удалил Microsoft Security Essentials, перезагрузил компьютер, и всплыл порно-баннер вверху экрана. Деблокеры с virusinfo, drweb, support.kaspersky не помогли (пробовал все предложенные коды).
Установил другую версию nod32, в итоге ekrn.exe бесполезно висит запущенный в Диспетчере задач, при запуске антивируса из меню пуск: «Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения», а при запуске непосредственно «egui.exe» выдает: «Программа не запускается».
Доступ к реестру закрыт (это исправляется через политики безопасности).
Программа-баннер легко завершается через Диспетчер задач. Каждый раз при загрузке баннер имеет разное имя (например: "98jUHtK.exe", "hMAHfDI.exe"). Эти файлы каждый раз запускаются из C:\WINDOWS\system32\
Запуск баннера предотвратил, отключив автозагрузку файла: C:\WINDOWS\system32\WUBuA.exe
Однако запуск nod32 по-прежнему невозможен (пробовал переустановить).
Спасибо за помощь!
07.05.2010, 15:26
polar_owl

Закройте все программы, выгрузите антивирус, фаерволл
Отключите ПК от интеренета, локальной сети.
пофиксите В HijackThis:
[CODE]
F3 - REG:win.ini: load=C:\WINDOWS\system32\OhzeF.exe
[/CODE]

Выполните в AVZ скрипт:
[CODE]begin
ExecuteWizard('TSW',3,3,true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ZT0muEb.exe','');
QuarantineFile('C:\WINDOWS\system32\RMP9SJX.exe','');
QuarantineFile('C:\WINDOWS\system32\qoumeVV.exe','');
QuarantineFile('C:\WINDOWS\system32\FeHRYas.exe','');
QuarantineFile('C:\WINDOWS\system32\9jqMQ71.exe','');
QuarantineFile('C:\WINDOWS\system32\944HZrf.exe','');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
QuarantineFile('C:\WINDOWS\system32\OhzeF.exe','');
DeleteFile('C:\WINDOWS\system32\OhzeF.exe');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\OTihr.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc24.tmp','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc24.tmp');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\944HZrf.exe');
DeleteFile('C:\WINDOWS\system32\9jqMQ71.exe');
DeleteFile('C:\WINDOWS\system32\9jqMQ71.exe');
DeleteFile('C:\WINDOWS\system32\qoumeVV.exe');
DeleteFile('C:\WINDOWS\system32\RMP9SJX.exe');
DeleteFile('C:\WINDOWS\system32\ZT0muEb.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.[/CODE]

В папке c АВЗ сохранится [B]virus.zip[/B].
Пришлите его по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы.
Повторите логи.

+ Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
07.05.2010, 16:21
fertuciy

Спасибо за оперативность.
ekrn.exe не выгружается (отказано в доступе).
строчки в HijackThis "F3 - REG:win.ini: load=C:\WINDOWS\system32\OhzeF.exe" не оказалось.
Послал файл virus.zip. Файл сохранён как: 100507_155303_virus_4be3ff1f17de8.zip
Gmer запускается, начинает автопроверку, и через несколько секунд BSOD (трижды запускал, все программы закрывал, из трея все выгружал, локалка\инет отключены)
Через час сделаю virusinfo_syscure.zip , virusinfo_syscheck.zip, hijackthis.log.
07.05.2010, 16:38
polar_owl

Посмотрите здесь про выгрузку Nod32:[url]http://virusinfo.info/showthread.php?t=57441[/url]
Если не получится, попробуйте отключить службы, связанные с NOD32, и перезагрузиться.
Скорее всего Gmer не срабатывает из-за работающего Нода.
07.05.2010, 16:41
thyrex

[QUOTE='fertuciy;633635']Gmer запускается, начинает автопроверку, и через несколько секунд BSOD[/QUOTE]Попробуйте в безопасном режиме
07.05.2010, 23:50
fertuciy

[QUOTE]Посмотрите здесь про выгрузку Nod32...[/QUOTE]
Кроме наличия ekrn.exe в списке процессов антивирус никак себя не проявлял. Запустить диалоговое окно nod32 не удалось.

[QUOTE]Скорее всего Gmer не срабатывает из-за работающего Нода.[/QUOTE]
Удалил nod32, но Gmer продолжает вылетать с ошибкой с последующим BSOD.

[QUOTE]Попробуйте в безопасном режиме [/QUOTE]
Gmer все равно вылетает с ошибкой на этапе автопроверки при пуске.
07.05.2010, 23:53
thyrex

Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
08.05.2010, 00:54
polar_owl

+ к [B]thyrex[/B] такой скрипт выполните:[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrSvc('rsxvkyw');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно 3 пункту приложения к правилам.
08.05.2010, 01:21
fertuciy

[QUOTE=thyrex;633846]Такой лог сделайте [URL]http://virusinfo.info/showpost.php?p=493610&postcount=1[/URL][/QUOTE]
Выполнил.

[QUOTE]Пришлите карантин согласно 3 пункту приложения к правилам[/QUOTE]Выполнил [B]скрипт в AVZ и послал [/B]virus.zip:
Файл сохранён как 100508_011835_virus_4be483abdc34d.zip
Размер файла 311
MD5 d05289922a03810ac5521df0033a5e51
08.05.2010, 01:34
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\hMAHfDI.exe
c:\windows\system32\m1gQ90V.exe
c:\windows\system32\4VA68lM.exe
c:\windows\system32\98jUHtK.exe
c:\windows\system32\f70df921.exe
c:\windows\system32\243d483c.exe
c:\windows\system32\moX1Gcw.exe
c:\windows\system32\QYYWqGk.exe
c:\windows\system32\8404fd40.exe
c:\windows\system32\1LNl6vl.exe

Driver::
rsxvkyw

NetSvc::
rsxvkyw

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6645:TCP"=-

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
08.05.2010, 22:09
fertuciy

Извините, что в праздники достаю своими проблемами, большое спасибо за помощь!
08.05.2010, 22:31
thyrex

Плохого не видно. Проблема решена?
08.05.2010, 22:54
fertuciy

Проблема с баннером решена была сразу, как я отменил автозагрузку WUBuA.exe. Может стоит его представить на суд? Если он никому здесь не интересен, то я его удалю.
Оставалась проблема с запуском установленного nod32 ver.4.
Возможно, проблема была в самом дистрибе. Сейчас я без антивира, может посоветуете, что поставить, я не придирчив. Покупать не хотелось бы, так попробую найти. Спасибо.
08.05.2010, 23:03
polword

Пришлите файл WUBuA.exe запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
08.05.2010, 23:10
fertuciy

Файл сохранён как 100508_231000_WUBuA_4be5b70810196.zip
Размер файла 121823
MD5 349534823eed7ab3456a08ce56560f8f
08.05.2010, 23:22
thyrex

Запакуйте, пожалуйста, папку [B]C:\Qoobox[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
08.05.2010, 23:41
polword

WUBuA.exe-Trojan-Ransom.Win32.XBlocker.ya(ЛК)
09.05.2010, 10:46
fertuciy

[QUOTE]WUBuA.exe-Trojan-Ransom.Win32.XBlocker.ya(ЛК) [/QUOTE]Спасибо за инфо.

[QUOTE=thyrex;634256]Запакуйте, пожалуйста, папку [B]C:\Qoobox[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Установите [URL="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/URL] (может потребоваться активация) + все новые патчи
Установите [URL="http://www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/URL] или удалите старый[/QUOTE]
Выполнил.

Сделал полную проверку с помощью Средства удаления вредоносных программ для ОС Microsoft® Windows® (KB890830), ничего не найдено.
Проблема решена. [B]polar_owl[/B], [B]thyrex[/B], [B]polword[/B], всем [B]большое спасибо [/B]за участие и помощь!
10.05.2010, 10:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\cmdow.exe - [B]not-a-virus:RiskTool.Win32.HideWindows[/B][*] \wubua.exe - [B]Trojan-Ransom.Win32.XBlocker.ya[/B] ( DrWEB: Trojan.Packed.19697, BitDefender: Trojan.Generic.3864010 )[/LIST][/LIST]