"Your system is infected" и "Click here to protect..."

**Oblom** · 17.08.2009, 21:01

Здравствуйте!

Обращаюсь за помощью. Симптомы следующие.
Антивирус AVG обнаружил Win32/Cryptor C:\WINDOWS\system32\logon.exe и через некоторое время закрыл его в хранилище.
Затем из трея выскочило "Click here to protect your computer from spyware!" - Виндовс нашла скрытое шпионское ПО и т. п.", тут же открывается какая-то "антивирусная" прога, начинает сканирование, быстро "находит" кучу всего и просит скачать себе подкрепление с инета. Таблетка Др.Веба удалила трояна в C:\ProgramFiles\ в папке с именем этого объявившегося "антивируса". К сожалению, имени трояна не помню.
После перегрузки из трея продожает выскакивать "Click here ..." и иногда окно виндовс "Warning! надо скачать защиту и т. п.", обои сменились на надпись "Your system is infected" (сменяются каждый раз при загрузке винды после прогрузки элементов автозапуска, после чего появляются и ярлыки рабоч. стола).
Также выскакивало окно "Не удалось найти logon.exe", но после удаления из реестра при помощи AVZ ключей с параметром "logon.exe" выскакивать перестало.
Не работает:
- безопасный режим (перегружается);
- диспетчер задач;
- regedit и gpedit.msc;
- TheBat!
Проверка антивирусом AVG и с LiveCD DrWeb, как и таблеткой, ничего не дала (делалась несколько раз на каждый диск отдельно, так как в процессе несколько раз комп перегружался).
WinRAR отказывался открывать архивы с AVZ и HijackThis, открылись WinZip'ом.

Помогите, пожалуйста! Заранее спасибо.

С уважением ...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 17.08.2009, 22:16

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\winupdate.exe','');
 QuarantineFile('digeste.dll','');
 DeleteService('hced467');
 QuarantineFile('C:\WINDOWS\\SystemRoot\System32\drivers\hced467.sys','');
 DeleteFile('C:\WINDOWS\\SystemRoot\System32\drivers\hced467.sys');
 DeleteFile('digeste.dll');
 DeleteFile('C:\WINDOWS\system32\winupdate.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
сделайте такой http://www.gmer.net/ лог

**Oblom** · 17.08.2009, 23:03

Скрипт выполнил, карантин выслал.
Изменения:
- обои всё равно меняются на "Your system is ...", но из трея пропало всплывающее окно;
- только после выполнения
"REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f" заработал диспетчер задач; regedit тоже запускается;
- заработал TheBat!;
- смог обновить антивирус.

С логом GMER'а, надеюсь, не напутал.

**V_Bond** · 17.08.2009, 23:06

логи авз повторите

**Oblom** · 17.08.2009, 23:53

Готово.

**Bratez** · 18.08.2009, 08:48

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\hced467.sys','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\E9G5O78X\crypt_install[1].exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IVKR4BOP\exe[1].exe','');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IVKR4BOP\exe[1].exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\E9G5O78X\crypt_install[1].exe');
DeleteFile('C:\WINDOWS\System32\drivers\hced467.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('hced467');
BC_DeleteSvc('c6c4a591.sys');
BC_DeleteSvc('ati4svxx');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(10);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи AVZ.

**Oblom** · 18.08.2009, 21:07

Доброго времени суток!

Скрипт выполнил, карантин выслал.
Изменения: теперь надпись на рабочем столе пропала, но смена обоев всё ещё недоступна.

**thyrex** · 18.08.2009, 21:20

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\hced467.sys','');
 DeleteService('hced467');
 DeleteFile('C:\WINDOWS\System32\drivers\hced467.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer

**Oblom** · 18.08.2009, 23:19

Смена обоев стала доступна.
Карантин получен или следует повторить загрузку?

**V_Bond** · 18.08.2009, 23:21

C:\WINDOWS\system32\winlogon.exe - пришлите согласно приложения 2 правил

**Oblom** · 18.08.2009, 23:27

Карантин отправлен.

**Bratez** · 19.08.2009, 02:25

Файл в карантине чистый.
Какие проблемы остались?
С regedit'ом знакомы?

**Oblom** · 19.08.2009, 08:16

Всё вроде работает нормально, жаловаться пока не на что - тревожные симптомы исчезли. Огромное спасибо хелперам!
Насчёт regeit: имею общее представление, без крайней необходимости и подсказки туда не лезу.

**Bratez** · 19.08.2009, 14:50

Нужно удалить следующие ключи реестра:
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\hced467
HKEY_LOCAL_MACHINE \SYSTEM\ControlSet002\Services\hced467

Если ключ не удаляется, щелкните его правой кнопкой мыши и выберите Разрешения... Убедитесь, что группе администраторов разрешен полный доступ. Если не разрешен - включите его.

После удаления перезагрузите компьютер и повторите п.2 Диагностики.

**Oblom** · 19.08.2009, 18:53

HKEY_LOCAL_MACHINE \SYSTEM\ControlSet002\Services\hced467 - удалился без проблем.
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\hced467 - "не удалось открыть раздел: ошибка при открытии раздела", а при попытке удалить - "не удалось удалить раздел: ошибка при удалении раздела".
В разрешениях стоит полный доступ, в виндовс захожу как администратор.
Кроме того, есть ещё раздел:
HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Services\hced467, он открывается, видны ключи, но при удалении пишет ту же ошибку.
Пробовал удалить ключи через "Поиск ключей реестра" в AVZ - тоже пишет об ошибке, если нужно - лог пришлю.

**Bratez** · 20.08.2009, 02:07

Попробуйте удалить с помощью Ice Sword.
Ну если и так не получится - оставьте его, т.к. файла все равно уже нет, а ключ реестра сам по себе не опасен.

**Oblom** · 21.08.2009, 16:53

Как выяснилось, файл был:
C:\WINDOWS\System32\drivers\hced467.sys на 45 Кб.
С помощью Ice Sword удалил из реестра всё, что нашлось по маске "hced467", после чего удалил сам hced467.sys.
Ещё раз спасибо, сейчас пожаловаться вроде не на что.

**CyberHelper** · 22.08.2009, 16:53

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\winupdate.exe - Trojan-Downloader.Win32.FraudLoad.fez ( DrWEB: Trojan.Fakealert.4742, BitDefender: Trojan.FakeAlert.BIM, AVAST4: Win32:Trojan-gen {Other} )

"Your system is infected" и "Click here to protect..." (заявка № 52307)

Опции темы

"Your system is infected" и "Click here to protect..."

Антивирусная помощь

Итог лечения

Похожие темы

"Яндекс" выдает "Welcome to nginx!" В "однокласниках" и "вконтакте" просит номер телефона

з"явилися дві лєві папки "$RECYCLE.BIN" і "System Volume Information"

Безопасность в "облаках" и в "песочнице". Интервью с "Лабораторией Касперского". Часть I- II

"Critical system error, click here to fix" -- поп-ап из трея

В "Свойствах" "Беспроводного сетевого соединения" закладка "Беспроводное соединение" отсутствует.

Метки для этой темы

Ваши права в разделе