Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Вирус, который просит отослать СМС! (заявка № 51618)

  1. #1
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    19
    Вес репутации
    36

    Thumbs up Вирус, который просит отослать СМС!

    Каждый раз, когда я включаю свой ноутбук, мне пишут, мол установлено не лицензионное ПО и просит отослать SMS на номер, чтобы получить код активации. Я где то раньше слышал об этой теме и точно знаю, что это вирус!

    Я бы с радостью прислал вам логи, как требуют правила, но у меня даже не включается компьютер после окна Приветствия. А если загрузится, то выскакивает синий экран с текстом об активации этого непонятного ПО.
    Безопасный режим так же не может быть загружен.

    Подскажите, что делать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Если не поможет вариант из предыдущего сообщения, посмотрите здесь http://news.drweb.com/show/?i=304&c=9&p=0

    Если поможет разблокировать компьютер, выполняйте правила
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    19
    Вес репутации
    36
    Цитата Сообщение от thyrex Посмотреть сообщение
    Если не поможет вариант из предыдущего сообщения, посмотрите здесь http://news.drweb.com/show/?i=304&c=9&p=0

    Если поможет разблокировать компьютер, выполняйте правила
    Он СМС просить уже вроде перестал, работает только курсор на чёрном рабочем столе, где ничего не показывается и диспетчер так же не запускается.
    Помог первый способ, где через WIN+U запускается экранная лупа, а далее интернет, но у меня доступ к интернету осуществляется через вай-фай, а он в свою очередь запуститься не может из за блокировки всей системы. Благо на компьютере есть старая(!) версия avz.. вот посмотрим.. поможет ли старая версия.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Razah Посмотреть сообщение
    вот посмотрим.. поможет ли старая версия.
    Нет, не поможет. И время не тратЬте.

  7. #6
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    19
    Вес репутации
    36
    Хорошо, а если мне скачать AVZ, обновить его и закинуть на флешку? А далее через флешку перекинуть на ноутбук. Есть смысл?

    P.S. Версия AVZ была Апрель 2009.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Razah Посмотреть сообщение
    Версия AVZ была Апрель 2009.
    Версия AVZ 4.30 подходит. Базы скачайте - там ссылку найдёте - и после установки АВЗ распакуете их в папку ..\avz\base

  9. #8
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    19
    Вес репутации
    36
    Всё вроде проверил, АВЗ разрешил доступ к диспетчеру и прочим услугам (доступ к HDD и т.д.), но теперь после окна Приветствия рабочий стол полностью чёрный и всех моих иконок нету, но это лишь малая беда, теперь . Видно лишь курсор и чёрный фон. Через несколько секунд компьютер выходит из системы на окно, где я могу зайти под свой логин. Если я захожу, он сразу же выходит снова.
    Иными словами, зайти на раб. стол я всё же не могу.

    Может ли это быть из за того, что я удалял в реестре Userinit в Software\Microsoft\Windows NT\CurrentVersion\Winlogon.... если из за него, то как его восстановить или создать заного?

    ЗЫ: В безопасный режим входить не хочет нивкакую. Нажимаю F9 - не вызывается.
    Последний раз редактировалось Razah; 08.08.2009 в 16:57.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Выбрать способ запуска можно по F8

    Загрузитесь с виндовского LiveCD или же подключите жесткий диск с больной системой к другому компьютеру. Проверьте наличие файлика userinit.exe в папке windows\system32.

    Далее
    1. Запустите regedit и выделите раздел HKEY_USERS.
    2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где на-ходится реестр вашей Windows (обычно C:\Windows\System32\Config).
    3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
    4. Введите имя для раздела, который вы загрузили, например, MyHive.
    5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
    6. Не забудьте выгрузить куст
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    19
    Вес репутации
    36
    Прошу прощения, но у меня проблема с ноутбуком. Сам ноут банальный, потому его жесткий диск, как и сам ноут, подключить к своему компьютеру не смогу никак.
    Сейчас буду теперь искать где бы скачать LiveCD... может через него получится.

    Кстати, именно параметр (или реестр файл.. как его там) Userinit я удалил из реестра. Его там не будет. Сам файл в system32 наверное есть (ща буду проверять, когда скачается LiveCD)..

    Добавлено через 38 минут

    Проверил я наличие файла Userinit.exe в ноутбуке через LiveCD. Его там нету. Могу ли я его взять со своего компьютера?
    Последний раз редактировалось Razah; 08.08.2009 в 17:55. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Если сервиспаки одинаковые, то да.

  13. #12
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    19
    Вес репутации
    36
    Да, Сервис Паки одинаковые. Предположим файл userinit.exe я скопирую в "больной" windows, а как мне в этот же больной windows записать параметр в реестре? Мы же отсоединяем этот куст + мы его просто смотрели в предыдущем посте.

    Иными словами, как мне сделать в новый параметр Userinit в больном реестре, если я нахожусь через LiveCD?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Загрузить - отредактировать - выгрузить

  15. #14
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    19
    Вес репутации
    36
    Всё ребят, заработало наконец то... ффууухх!!
    Загрузился и раб.стол и т.д. и т.п. Никаких СМС он не просит, ничего не требует.. Отчёты наверное не стоит уже отправлять или как быть дальше?

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Цитата Сообщение от Razah Посмотреть сообщение
    Отчёты наверное не стоит уже отправлять
    Нужны. Для профилактического осмотра
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    19
    Вес репутации
    36
    Всё, как и просили. Проверьте пожалуйста.
    Вложения Вложения

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\scd.exe','');
     QuarantineFile('crypt.dll','');
     DeleteFile('crypt.dll');
     DeleteFile('C:\WINDOWS\system32\scd.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    19
    Вес репутации
    36
    ща пришлю логи.. Гмер долго работает.

    Готово наконец! Гмер очень долго работает.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 08.08.2009 в 21:16.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Код:

    Код:
    gmer.exe -del service SKYNETemlwbyqx
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETemlwbyqx"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETemlwbyqx"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\SKYNETemlwbyqx"
    gmer.exe -del file "C:\windows\system32\SKYNETbnmpxvpj.dll"
    gmer.exe -del file "C:\windows\system32\SKYNETwijecbfa.dat"
    gmer.exe -del file "C:\windows\system32\SKYNETsfoacvhq.dll"
    gmer.exe -del file "C:\windows\system32\SKYNETxwecuxiu.dat"
    gmer.exe -del file "C:\windows\system32\drivers\SKYNETrxublamk.sys"
    gmer.exe -reboot
    скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите двойным щелчком.
    После перезагрузки повторите лог gmer.

    AVZ/Сервис/Диспетчер файла hosts
    Удалите все записи после 127.0.0.1 localhost

  21. #20
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    19
    Вес репутации
    36
    Манипуляция с файлом 123.bat выполнена. Он сначала написал что то там типо "Параметр не определён", а в конце написал, что файл SKYNET по каком то пути не найден. Все остальные строки походу дела выполнил, перезагрузился. Ща сделаю новый лог.

    Строки в Hosts удаляю.

  • Уважаемый(ая) Razah, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. не открывает страницы и просит отослать смс
      От dimarik3101 в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 23.02.2012, 01:43
    2. Вирус который ни чем не лечится!
      От sanya33 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.09.2011, 21:08
    3. Вирус,который просит отправить смс
      От arsi в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 19.12.2009, 19:34
    4. Ответов: 4
      Последнее сообщение: 24.01.2009, 22:17
    5. Вирус который блокирует все
      От dinox в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.03.2008, 17:52

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01530 seconds with 17 queries