Блокер :(

Printable View

25.03.2011, 13:59
vgm

Блокер :(

У приятеля на ноуте случилась беда -- болкирут систему вымогатель.
Просит звонить по телефону (платному)
00881935211841
0037190100548
0088213090406
и после этого ввести код 1*117*7#
и семь ячеек в поле ввода ответа.
Описываю так подробно, поскольку не нашел в деблокере ничего похожего.

Загрузился в безопасном режиме и сделал логи всем, чем только смог :)

Помогите plz!

Кстати, ERD-commander ничего существенного не показал :(
25.03.2011, 14:47
Acidorum

Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\meiudf.sys','');
QuarantineFile('C:\Documents and Settings\Com\Local Settings\Temporary Internet Files\Content.IE5\L1N24CSA\Install_Flash-Player[1].exe','');
DeleteFile('C:\Documents and Settings\Com\Local Settings\Temporary Internet Files\Content.IE5\L1N24CSA\Install_Flash-Player[1].exe');
DeleteFile('C:\WINDOWS\Tasks\flqfvmgigc.job');
DeleteFile('C:\WINDOWS\Tasks\hgfrqbmrvvpm.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи в нормальном режиме.
25.03.2011, 15:02
vgm

Карантин закачал.
Файл сохранён как 110325_120213_quarantine_4d8c844507351.zip
25.03.2011, 15:58
vgm

Новые логи

Во время проверки и привыключении компа вываливались сообщения от svchost о невозможности записи по адресам памяти.
25.03.2011, 16:55
Acidorum

Кое-что осталось.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteFile('C:\Documents and Settings\Com\Local Settings\Temporary Internet Files\Content.IE5\L1N24CSA\Install_Flash-Player[1].exe');
DeleteFile('C:\WINDOWS\Tasks\rszoytbb.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Сделайте повторные логи.
25.03.2011, 17:55
vgm

Вот новые файлы. Проблемы с svchost и wuauclt во время сканирования остались.
26.03.2011, 15:05
vgm

И что, ничего нового?
Или все настолько плохо? :)
26.03.2011, 19:16
Acidorum

Извините за задержку.
В логах ничего зловредного.
Если проблемы все ещё беспокоят, сделайте [URL="http://virusinfo.info/showthread.php?t=53070"]лог MBAM[/URL].
28.03.2011, 11:45
vgm

Просканил m-bam'ом. Именно он наконец-таки удалил Install_Flash-Player[1].exe. :)
Всем спасибо! Тему можно закрывать.
29.03.2011, 11:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\archsoft\\arustart.exe - [B]Hoax.Win32.ArchSMS.iytq[/B] ( DrWEB: Trojan.SMSSend.1156, BitDefender: Trojan.Generic.6317783, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\com\\local settings\\temporary internet files\\content.ie5\\l1n24csa\\install_flash-player[1].exe - [B]Trojan.Win32.FakeWarn.k[/B] ( DrWEB: Trojan.Winlock.3170, BitDefender: Trojan.Generic.KDV.156942, NOD32: Win32/LockScreen.AFD trojan, AVAST4: Win32:FraudTool-TK [Trj] )[*] c:\\windows\\system32\\cpldapu\\produkey.exe - [B]not-a-virus:PSWTool.Win32.ProductKey.aw[/B] ( DrWEB: Tool.PassSteel.377 )[/LIST][/LIST]