Вирус-вымогатель. Отошли смс на номер ... Вам будет выслан пароль.

**Kenotaf** · 06.04.2009, 16:07

Добрый день!
Червяк портит этот добрый день(( подскажите популярно как его убить?

Пишет: Ваш компьютер заблокирован!
отошлите смс на короткий номер, вам вышлют пароль для разблокировки.
Переустановка системы не решит проблему. Данные зашифрованны.

очень вас прошу напишите как можно популярнее, т.к.
я не спец в терминах.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Kenotaf** · 06.04.2009, 16:31

вот лог

**Гриша** · 06.04.2009, 16:37

Логи AVZ можете сделать?

**Гриша** · 06.04.2009, 17:35

virusinfo_cure.zip из темы уберите, нужен еще лог после 2 стандартного скрипта...

**Kenotaf** · 06.04.2009, 17:53

по моему это...

**Гриша** · 06.04.2009, 20:53

Лог virusinfo_syscure.zip прикрепите...

**Kenotaf** · 06.04.2009, 22:11

вот

**Kenotaf** · 07.04.2009, 15:49

Гриш, ну, что? Скажите как убить червя?

Добавлено через 12 минут

У меня такая ситуация... я прочитал несколько похожих тем...
Многие пишут, что в безопасном режиме у людей та же фигня, у меня не так. В данный момент сижу в безопасном режиме с загрузкой сетевых драйверов, работают почти все проги и т.п.
Полазил в сети и нашел скрипт, который восстанавливает нормальную работу системы. Если раньше в обычном режиме у меня ничего не работало и не открывалось, то после выполнения этого скрипта можно открыть "Пуск". Я даже попытался просканировать антивирусником, но он ничего не нашел. Так и висит серый экран с требованиями послать смс и ввести пароль.

**PavelA** · 07.04.2009, 15:50

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('G:\fdjsys.exe','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('alcopt.dll','');
 QuarantineFile('C:\WINDOWS\system32\portmap.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Kqw74.sys','');
 DeleteService('Kqw74');
 DeleteFile('C:\WINDOWS\System32\Drivers\Kqw74.sys');
 DeleteFile('C:\WINDOWS\system32\portmap.exe');
 DeleteFile('G:\autorun.inf');
 DeleteFile('G:\fdjsys.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать новые логи.
ЗАгрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=43313

**Kenotaf** · 07.04.2009, 16:11

вот сегодняшние логи

**Kenotaf** · 07.04.2009, 16:17

карантин почему-то не загружается((( пишет неправильная ссылка... хотя я указываю вроде правильно: http://virusinfo.info/showthread.php?p=384102

Поменял букву p на t мне он написал, что уже файл загружен... я правда не понял куда...ну, если что-то не так скажите, я переделаю:/

**Гриша** · 07.04.2009, 16:24

Из обычного режима можете логи сделать?

**PavelA** · 07.04.2009, 17:03

Сообщение от Kenotaf

карантин почему-то не загружается
ну, если что-то не так скажите, я переделаю:/

Я ссылку приложил в свое сообщение.

**Kenotaf** · 08.04.2009, 02:33

Гриша, из обычного режима загружал AVZ...но скрипты выполняются не до конца((( на 16500 останавливается и прога не отвечает((( пытался 4 раза - никак. НО! обычный режим уже загружается без того вымогательного окна!!! Алилуя!
НО! Все проги, любой файл....не открывается(( просто комп думает непонятно о чем... Когда нажимаешь ctrl+alt+del пишет, что он отключен администратором)))) судя по всему вирусом...

Павел, первый раз зашел по вашей ссылке и прикрепил нужный архив, НО я нуб поэтому мне показалось, что там должен быть другой путь к теме....и не записав номера закаченного файла, я попытался загрузить снова по другой ссылке к теме...и он теперь пишет, что файл уже загружен... прошу прощение... :/

**PavelA** · 08.04.2009, 11:20

C:\WINDOWS\system32\portmap.exe - Trojan.Winlock.18 по Доктору Вебу.

Более ничего не досталось.

Добавлено через 6 минут

выполнить:

Код:

begin
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);

end.

Попробовать ctrl+alt+del

**Kenotaf** · 08.04.2009, 15:53

Павел, выполнил скрипт и в безопасном режиме и в обычном...
ctrl+alt+del не заработал((
При загрузке в обычном режиме пишет два сообщения...
1. запрашиваемый файл C:/ Windows/Win32/portmap.exe' не найден. Проверьте правильность написания имени файла.
2. для какого-то процесса требуется этот файл, но он не найден...
все тот же portmap.exe'. Попробуйте наити его через "Поиск" - попробывал...не нашел.

Еще у меня АВАСТ нашел вирусы в звуковых файлах...теперь еще и звука нету... :/

**PavelA** · 08.04.2009, 15:59

Лог HijackThis приложи сюда.

**Kenotaf** · 08.04.2009, 16:43

вот лог

**PavelA** · 08.04.2009, 17:09

Как же тут не будет тормозить, если два а/вируса стоят.
Надо одного оставить.
Профиксить:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - S-1-5-18 Startup: Quick Office.lnk = C:\WINDOWS\system32\portmap.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Quick Office.lnk = C:\WINDOWS\system32\portmap.exe (User 'Default user')
O20 - Winlogon Notify: alcopt - alcopt.dll (file missing)
O2 - BHO: (no name) - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)