Windows заблокирована отправьте смс

**SlyAss** · 25.06.2009, 16:15

Помогите плиз , сам не смог отлечить.
moderated::: *Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 25.06.2009, 16:32

Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)

Логи выполняются ТОЛЬКО в нормальном режиме.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\sdra64.exe,

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('C:\WINDOWS\system32\twex.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\twex.exe');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

**SlyAss** · 25.06.2009, 16:54

после выполнения скрипта комп перезагружается , но в explorer не попадает, windows заблокирована отправьте смс

**Rene-gad** · 25.06.2009, 16:58

Почитайте: http://virusinfo.info/showthread.php?t=44817 если еще не читали...

- Выполните скрипт (можно в безопасном режиме).

Код:

begin
SetAVZPMStatus(false);
RebootWindows(true);
end.

После перезагрузки сделайте все из сообщения #2

**SlyAss** · 25.06.2009, 17:25

Спасибо огромное за оперативную работу

**Rene-gad** · 25.06.2009, 17:34

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine; 
 QuarantineFile('C:\WINDOWS\system32\drivers\aliserv3.sys','');
 QuarantineFile('C:\WINDOWS\system32\RegSrvc.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\aliserv3.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

**SlyAss** · 25.06.2009, 18:02

Сделал

**Rene-gad** · 26.06.2009, 00:36

Восстановление системы: включено
Кто просил включать?

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine; 
 QuarantineFile('C:\WINDOWS\system32\alil.dll','');
 DeleteFile('C:\WINDOWS\system32\alil.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
+
лог gmer

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

**SlyAss** · 26.06.2009, 10:52

черт в gmere опять скайнет ((((

**thyrex** · 26.06.2009, 11:18

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETewbsblns.sys','');
 QuarantineFile('C:\WINDOWS\system32\SKYNETiqssvhgt.dat','');
 QuarantineFile('C:\WINDOWS\system32\SKYNETtwwyvekr.dll','');
 QuarantineFile('C:\WINDOWS\system32\SKYNETpfpxtmsn.dat','');
 QuarantineFile('C:\WINDOWS\system32\SKYNETsfvcvrev.dll','');
 DeleteFile('C:\WINDOWS\system32\drivers\SKYNETewbsblns.sys');
 DeleteFile('C:\WINDOWS\system32\SKYNETiqssvhgt.dat');
 DeleteFile('C:\WINDOWS\system32\SKYNETtwwyvekr.dll');
 DeleteFile('C:\WINDOWS\system32\SKYNETpfpxtmsn.dat');
 DeleteFile('C:\WINDOWS\system32\SKYNETsfvcvrev.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service SKYNETvxaabsie
gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETewbsblns.sys"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETiqssvhgt.dat"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETtwwyvekr.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETpfpxtmsn.dat"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETsfvcvrev.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETvxaabsie"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETvxaabsie"
gmer.exe -reboot

И запустите cleanup.bat

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи AVZ + новый лог gmer

**SlyAss** · 26.06.2009, 12:33

Сделал, cleanup.bat говорил что данных файлов не найдено, после перезагрузки, при попытке сделать новые логи, через примерно 5 мин комп выбило в синий экран и так 2 раза. сделал логи в безопасном режиме только(

**thyrex** · 26.06.2009, 12:46

Эвристику поставьте на средний уровень. Зачем Вам максимум...

После этого попытайтесь сделать логи в обычном режиме

**SlyAss** · 26.06.2009, 12:54

Эвристика сама так ставится, когда говорю выполнить скрипты для сбора, поменять не могу, окно с выбором скриптов не дает, а как поменять?

**thyrex** · 26.06.2009, 13:17

AVZ - вкладка Параметры поиска - Эвристический анализатор - какой уровень эвристики стоит?

**SlyAss** · 26.06.2009, 13:21

вот сделал

по умолчанию стоит средний, но когда нажимаю выполнить стандартные скрипты, для Помогите, он поднимается наверх

**thyrex** · 26.06.2009, 13:58

В логах чисто. А что с проблемой?

**SlyAss** · 26.06.2009, 14:31

Ну значит все , спасибо вам огромное

virusifo.info руль , а синий экран спишем на глюк винды

сейчас вроде все хорошо работает

**CyberHelper** · 27.06.2009, 14:31

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 24
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.wwu ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Gen:Trojan.Heur.Dropper.D0837C7C7C )
2. c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.xmi ( DrWEB: Trojan.Inject.5847, BitDefender: Gen:Trojan.Heur.Dropper.9013ECECEC )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Windows заблокирована отправьте смс (заявка № 48696)

Опции темы

Windows заблокирована отправьте смс

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Windows заблокирована, отправьте СМС

Система заблокирована отправьте смс...

Система заблокирована отправьте смс...

Ваша система заблокирована, отправьте смс

троян Windows заблокирована! Для разблокировки отправьте смс

Ваши права в разделе