вымогатель на вконтакте

Printable View

07.06.2010, 12:34
cibo

вымогатель на вконтакте

День добрый.

На меня напал вымагатель. Он прописался по адресу vkontakte.ru при заходе на сайт вижу.

[B]Уважаемый пользатель! С Вашего аккаунта была замечена неоднократная SPAM рассылка! В связи с этим Ваша страница была времено заблокирована, для разблокировки Вашего аккаунта Вам необходимо отправить SMS с текстом 162002 на номер 3381. Напоминаем, что мы в праве удалять неактивные аккаунты в течении 2х недель.
С уважением, администрация Сайта ВКонтакте.[/B]

Я уже пробовал отправлять смс в итоге -300р.

Когда поймал эту фигню. Быстро открылся какойто блакнот с ипишниами и закрылся.
Вот что нашел в "выполнить"

[B]notepad.exe C:\WINDOWS\system32\drivers\etc\hosts
cmd /c attrib -h "C:\Windows\system32\drivers\etc\hosts" && echo 127.0.0.1 localhost>C:\Windows\system32\drivers\etc\hosts && erase C:\Windows\system32\drivers\etc\hosts.txt[/B]

уже просканировал комп avp он нашел несколько вирусов. Но все равно контакт требует денег.
07.06.2010, 12:39
polword

[URL="http://virusinfo.info/pravila_old.html"][COLOR="blue"]Внимательно прочитайте и аккуратно выполните[/COLOR][/URL]
07.06.2010, 14:10
cibo

Извеняюсь
07.06.2010, 14:40
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\Documents and Settings\cibo\Local Settings\Temp\ygiuqx.exe','');
QuarantineFile('C:\WINDOWS\Temp\~TM27.tmp','');
DeleteFile('C:\Documents and Settings\cibo\Local Settings\Temp\ygiuqx.exe');
QuarantineFile('C:\Documents and Settings\cibo\Local Settings\Temp\F9C.tmp','');
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe','');
QuarantineFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe','');
QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe','');
QuarantineFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe','');
QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
QuarantineFile('C:\Driver\Files\zerX.exe','');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe','');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe','');
QuarantineFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe','');
QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe','');
QuarantineFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe','');
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe','');
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe','');
QuarantineFile('C:\WINDOWS\system32:vcrt80.exe','');
QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
QuarantineFile('abod.exe','');
QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
DeleteFile('C:\WINDOWS\system32\srnh.lto');
DeleteFile('C:\WINDOWS\system32:vcrt80.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe');
DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe');
DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
DeleteFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
DeleteFile('C:\Driver\Files\zerX.exe');
DeleteFile('C:\BIN\RECYCLE\Bin.exe');
DeleteFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe');
DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DelCLSID('{0922162D-E289-17F9-6283-EAE70BDE63D2} ');
DelCLSID('{23KLN5J0-4OPM-11WE-AAX5-24EF1D187332} ');
DelCLSID('{23KLN5J0-4OPM-11WE-AAX5-24EF1F187332} ');
DelCLSID('{23KLN5J0-4OPM-11WE-AAX5-24EF1F387232} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C635622} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C987192} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C644141} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C644241} ');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A322142} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC3A187132} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D157322} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187332} ');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187562} ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(20);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
07.06.2010, 16:11
cibo

Все выпонил. вконтак все равно незаходит.(ообщение не пропало)
07.06.2010, 16:27
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-90401C608512}');
QuarantineFile('C:\thumbs.db','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
DeleteFile('C:\thumbs.db')
DeleteFile('C:\WINDOWS\system32\Drivers\etc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
07.06.2010, 16:41
cibo

Вложений: 1

вот
07.06.2010, 16:51
thyrex

Порядок. Доступ должен восстановиться

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
08.06.2010, 16:51
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]106[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]