Вирус, требовавший оплаты по смс за просмотр видео

[Аспарагус]

У меня в домашней сети находятся два компьютера, доступ к интернету осуществляется с основного, на второй комп доступ идёт через основной компьютер. На второй компьютер была закачана и запущена вредоносная программа, после которой поверх всего на экране висело сообщение с требованием отправить оплату за просмотр видео и угрозой, что в случае отказа от оплаты возможно причинение вреда компьютеру. Пока висело это окно, сеть не работала и диспетчер файлов при запуске выдавал сообщение "диспетчер файлов закрыт администратором" Через какое-то время окно исчезло без каких-либо действий с моей стороны, работа сети восстановилась, диспетчер программ запускается. Однако Opera и программа Filezilla не работают, при попытке коннекта сразу выдаются сообщения "программа прекратила работу из-за ошибки". Другие браузеры работают, но постоянно всплывает окно файрволла о том, что "компонент c:\documents and settings\main\cookies\userlib.dll изменился", то же самое при запуске большинства сетевых программ. Кроме того, на основном компьютере файрволл постоянно блокирует доступ в интернет, регистрируя атаку со стороны IP, которые являются DNS провайдера интернета. Т.е. работа в сети очень затруднена. Проверил антивирусом Avast, также утилитой AVTool, вирусов выявлено не было.
Прилагаю требуемые файлы

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelSPIByFileName('C:\Documents and Settings\Администратор\Cookies\userlib.dll', false);
 QuarantineFile('C:\games\heroes\Games\CheMaxRus\The Ultimate DooM\DLaunch.exe','');
 QuarantineFile('C:\Documents and Settings\Main\Cookies\userlib.dll','');
 DeleteFile('C:\Documents and Settings\Main\Cookies\userlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы


Сделайте новые логи.

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Main\Cookies\userlib.dll','');
 DeleteFile('C:\Documents and Settings\Main\Cookies\userlib.dll');
 DeleteFileMask('%Tmp%','*.*',true);
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteRepair(14);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы

Сделайте новые логи

[Аспарагус]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт

....
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы

Сделайте новые логи

выполнил этот последний скрипт, в результате AVZ не завершил свою работу, последняя запись в диалоговом его окне - "для удаления файла userlib.dll необходимо перезагрузить компьютер
удаление файла C:\Documents and Settings\Main\..... \Temp\*.* "
программа не отвечала, файл quarantine.zip не создался. Я перезагрузил вручную, завершив в том числе неотвечающий AVZ. После этого на этом компьютере не выходят в сеть все программы, антивирус Avast пишет ошибку 101106, такую же ошибку выдаёт Filezilla, у браузеров также нет соединения, пишу сейчас с основного компьютера. Снова запустил стандартные скрипты, высылаю логи

[Никита Соловьев]

Восстановление не успело отработать
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\Documents and Settings\Main\Cookies\userlib.dll');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteRepair(14);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится

[Аспарагус]

после выполнения скрипта комп перезагрузился, но браузеры и сетевые программы так сейчас и не коннектятся к интернету на втором компьютере.. хотя все сетевые настройки остались прежними, обмен данными между компами идёт, но при соединении, к примеру, Filezilla или попытке зайти на сайт - мгновенное сообщение, что нет соединения, и файрволл не отображает какой-либо активности в сети ни для какого приложения. Не подскажете, в чём тут может быть дело? на всякий случай высылаю новые логи

[Никита Соловьев]

Пофиксите в HJT:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\DOCUME~1\Main\LOCALS~1\Temp\IXP000.TMP\MsiExec.exe (file missing)

Перезагрузите ПК

[Аспарагус]

выполнил требуемые предписания, при действиях для записи О23 "2. Нажать кнопку Open The Misc Tools section
3. Нажать кнопку Delete an NT Service
4. В открывшемся диалоге ввести название службы - MSIServer
5.Нажать кнопку OK"
HJT выдал сообщение
The service 'MSIServer' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the Services.msc window
после перезагрузки компьютера сделал лог:

[Никита Соловьев]

Интернет работает?

[Аспарагус]

На основном компьютере работает, со вторым, на котором всё произошло, связь есть, пинг между компами присутствует.. но все сетевые программы и браузеры на втором сразу выдают сообщение, что нет соединения

[Никита Соловьев]

На компьютере, котором Вы пофиксили строчки работает?

[Аспарагус]

нет, я же фиксил, само собой, на втором компе, на котором была проблема, т.е. она осталась. На основном никаких проблем нет

[pig]

Нормально. Логи с одного аппарата, фиксите неизвестно что на другом...

[Аспарагус]

Нормально. Логи с одного аппарата, фиксите неизвестно что на другом...

Уважаемый, абсолютно все предоставленные логи с того аппарата, на котором была проблема, там же и фиксил. Откуда такое подозрение в моей бестолковости? Разве только оттого, что скачал эту хрень в сети, ну тут я согласен.

[pig]

Если что-то может быть понято неправильно, оно будет понято неправильно (c)

Ладно, проехали. Я так понимаю, что второй аппарат в отдельную тему для лечения. Или уже открыли?

[Аспарагус]

Я так понимаю, что второй аппарат в отдельную тему для лечения. Или уже открыли?

почему? нет, вообще ведь с первого поста речь шла только о втором аппарате, на который и был закачан вирус. А первый в порядке изначально, с него сейчас и пишу сообщения. А на втором делаю все указанные "медицинские" предписания и сохраняю логи. Я так понял, что вся вирусня была на нём в результате обезврежена, только почему-то пропало соединение с инетом, хотя настройки доступа остались прежними. В чём тут может быть проблема?(
Ладно, уже только завтра вечером приду с работы, помогите, если получится?

[pig]

А первый в порядке изначально, с него сейчас и пишу сообщения.

Не поминайте его всуе. Мешает пониманию, особенно при чтении по диагонали

[Аспарагус]

Не поминайте его всуе. Мешает пониманию, особенно при чтении по диагонали

хорошо, не буду я думал, что следует рассказать о домашней сети, может это имеет значение для лечения.
Ну так как, возможно определить, почему у меня браузеры и программы не проявляют никакой сетевой активности, судя по файрволлу?

Добавлено через 5 часов 10 минут

поискал в инете симптомы, судя по всему, вирусом были повреждены разделы реестра, такие как
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Winsock
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Winsock2
удалил поврежденные разделы реестра и переустановил протокол TCP / IP по указаниям с сайта техподдержки Майкрософт. Неожиданно для меня самого всё исправилось, только файрволл стал блочить все подряд выходы в инет, выдавая их как сканирование портов, приходится каждый раз вручную разблокировать.
Всем спасибо за помощь!