windows security alert

Printable View

12.10.2009, 11:12
Navator

windows security alert

Здравствуйте!

После перезагрузки компьютера вылезло окно иммитирующее windows security alert, с просьбой отправит СМС для разблокировки windows на номер 3649

На сайте DrWeb'a нашел что нужно ввести 13616 и все пропадет, только пропадает на минуту и окно восстанавливаеться заново. Удалось запустить AVZ и включить в нем AVZ Guard. Получилось сделать логи.
12.10.2009, 11:20
Белый Сокол

[B]Выполните скрипт в AVZ [/B](AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('d:\windows.0\winudpmgrs.exe');
TerminateProcessByName('d:\windows.0\windows7addon.exe');
QuarantineFile('D:\WINDOWS.0\system32\mstask.dll','');
QuarantineFile('d:\windows.0\system32\hasplms.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-9820357117-6762005961-281258817-5526\mwau.exe','');
QuarantineFile('Serc2amuhihd.sys','');
QuarantineFile('d:\windows.0\winudpmgrs.exe','');
QuarantineFile('d:\windows.0\windows7addon.exe','');
DeleteFile('D:\RECYCLER\S-1-5-21-9820357117-6762005961-281258817-5526\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Обновите базы AVZ и повторите логи.
12.10.2009, 11:35
Navator

Заранее спасибо сейчас буду пробывать

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

При попытке запустить скринпт выдает: ошибка ')' expected в позиции 13:95
12.10.2009, 11:37
Bratez

Поправил.
12.10.2009, 11:39
Белый Сокол

[B]Navator[/B], прошу прощения, не проверил синтаксис.
12.10.2009, 11:55
Navator

[B]Белый Сокол[/B], Скрипт выполнил, После перезагрузки все тоже самое что и описывал в первом сообщении. Отправил Вам карантин. Сейчас повторно делаю логи.
12.10.2009, 11:58
Белый Сокол

Подождем ответа по карантину, в любом случае не все возможные зловреды были сразу поставлены на удаление. От вас ждем логи.
12.10.2009, 12:40
Navator

Повторяю логи.
12.10.2009, 13:40
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\RECYCLER\S-1-5-21-2748241380-0862612883-702134836-0268\nvapbar.exe','');
DeleteFile('D:\WINDOWS.0\winudpmgrs.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-2748241380-0862612883-702134836-0268\nvapbar.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-9820357117-6762005961-281258817-5526\mwau.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_DeleteSvc('Serc2amuhihd');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=56951[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
12.10.2009, 14:35
Navator

Карантин отправил. Вот логи
12.10.2009, 14:40
Белый Сокол

[B]Выполните скрипт в AVZ [/B](AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\RECYCLER\S-1-5-21-3418509746-1931028992-938746607-6527\mwau.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-4024721439-8751666346-386328955-1850\mwau.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-1874414197-3076458891-697304082-6356\mwau.exe');
DeleteFile('winudpmgrs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows UDP Control Center');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[code]O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgrs.exe[/code]
Повторите логи.
12.10.2009, 14:46
Bratez

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgrs.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\RECYCLER\S-1-5-21-3418509746-1931028992-938746607-6527\mwau.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-4024721439-8751666346-386328955-1850\mwau.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-1874414197-3076458891-697304082-6356\mwau.exe');
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
13.10.2009, 12:15
Navator

Вчера вырубили свет не успел прислать логи. Выкладываю логи, Сегодня при включение проблема повторилась. Скрипт выполнил пофиксил что просил. Вот логи
13.10.2009, 12:20
Белый Сокол

[B]Выполните скрипт в AVZ [/B](AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('d:\windows.0\windows7addon.exe');
QuarantineFile('D:\WINDOWS.0\0\system32\ntkrnlpa.exe','');
QuarantineFile('d:\windows.0\windows7addon.exe','');
DeleteFile('d:\windows.0\windows7addon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Очистите временные папки с помощью [URL="http://virusinfo.info/showthread.php?t=10025"]одного из этих методов[/URL].

Подготовьте новые логи.
13.10.2009, 12:40
Navator

Карантин отправил вот логи
13.10.2009, 12:43
Белый Сокол

Сделайте еще лог virusinfo_syscure.
13.10.2009, 13:22
Navator

сделал
13.10.2009, 13:33
Белый Сокол

Что с проблемой?
13.10.2009, 13:40
Navator

по перезагружал компьютер, больше таблички не выскакивало. А логи чистые?
13.10.2009, 13:40
Белый Сокол

Да, в логах зловредов не видно.
13.10.2009, 13:42
Navator

Спасибо огромное за помощь
14.10.2009, 13:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\recycler\s-1-5-21-9820357117-6762005961-281258817-5526\mwau.exe - [B]P2P-Worm.Win32.Palevo.jya[/B] ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Application.Generic.236081 )[*] d:\windows.0\windows7addon.exe - [B]Backdoor.Win32.IRCBot.mpk[/B][*] d:\windows.0\windows7addon.exe - [B]Backdoor.Win32.IRCBot.mps[/B] ( DrWEB: BackDoor.IRC.Sdbot.5343, AVAST4: Win32:Malware-gen )[*] d:\windows.0\winudpmgrs.exe - [B]Backdoor.Win32.SdBot.pjm[/B][/LIST][/LIST]