-
Junior Member
- Вес репутации
- 54
Ваша система заблокирована, требуют СМС
1.) При запуске системы появляется синий полупрозрачный экран, который содержит в себе текст примерного содержания
"Ваша система заблокирована, в связи с тем, что вы используете не лицензионную версию Windows XP..."
Для разблокировки нужно ввести ключ, чтобы получить ключ
- Отправьте СМС
с текстом: mm5p25
на номер: 6008
2.) У меня стоит антивирус Avira Premium Security Suite, лицензия до февраля 2010 года, приобрёл за 99$ почти год назад, так вот в карантине Авиры висят файлы:
C:\WINDOWS\System32\kbiwkmyouwgles.dat
C:\WINDOWS\System32\kbiwkmrsbowbiv.dll
C:\WINDOWS\System32\kbiwkmcqioarow.dll
C:\WINDOWS\System32\kbiwkmycgsbgfe.dat
C:\WINDOWS\System32\kbiwkmtmdcpbpr.dll
C:\WINDOWS\System32\kbiwkmxrlrnbvl.sys
Нужны ли эти файлы в системе? Можно ли их удалять? Если да, то как?
3.) Каждый раз при запуске системы вылетает сообщение об ошибке:
"Windows не удалось найти 'csrcs.exe'. Проверьте что имя было введено правильно, и повторите попытку. Что бы выполнить поиск файла нажмите кнопку "Пуск", а затем выберите команду "Найти". "
Как это излечить?
P.S. (относительно 1-го вопроса) Вижу не у одного меня такая проблема вылезла, извиняюсь если не по теме, но куда можно заявить по поводу этого недоразумения? Как избежать последующего появления таких "вирусов"?
Последний раз редактировалось AT20009; 17.09.2009 в 21:18.
Причина: добавление вопроса
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Скрипт выполнил, вот лог:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('BB65B0FB-5712-401b-B616-E69AC55E2757');
QuarantineFile('C:\Temp\b.exe','');
DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('\systemroot\system32\drivers\kbiwkmxrlrnbvl.sys','');
DeleteFile('\systemroot\system32\drivers\kbiwkmxrlrnbvl.sys');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\msxml71.dll');
DeleteFile('C:\Temp\b.exe');
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
такой лог http://www.gmer.net/ сделайте
-
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\Temp\b.exe','');
QuarantineFile('\systemroot\system32\drivers\kbiwkmxrlrnbvl.sys','');
QuarantineFile('\\?\globalroot\systemroot\system32\kbiwkmcqioarov.dll','');
DeleteFile('\\?\globalroot\systemroot\system32\kbiwkmcqioarov.dll');
DeleteFile('\systemroot\system32\drivers\kbiwkmxrlrnbvl.sys');
DeleteFile('C:\Temp\b.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\msxml71.dll');
DeleteFile('C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
DeleteFile('{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=55000
3. Повторите лог virusinfo_syscheck.
4. Такой лог сделайте http://virusinfo.info/showthread.php?t=40118
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Скрипты выполнил как вы и говорили, логи прикрепил. Принят ли файл карантина?
Есть ещё вопрос. У меня есть ещё 2 диска "D" и "E" , можно ли отправить их логи на проверку? Есть подозрения, что они не чисты, Антивидус на это никак не реагирует. Ещё у меня перестал работать автозапуск на съёмном диске "H" , при его подключении к ПК вылазит окно "Открыть с помощью.."
Что делать?
Окно с ошибкой о "csrcs.exe" надоедать перестало, спасибо =) , но окно с вирусом "отправьте СМС.." всё так же достаёт. Антивирус всё ещё пиликает на файлы с началом "kbiwkm..." в названии, все находятся в "system32" , даже после их удаления они откуда то берутся.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
DeleteFile('C:\WINDOWS\ctfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ctfmon.exe');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится i78ovnty.exe (gmer)
Код:
i78ovnty.exe -del service ablngygf
i78ovnty.exe -del service dlluser
i78ovnty.exe -del service hooufqc
i78ovnty.exe -del service kbiwkmaafyqeds
i78ovnty.exe -del service myvzl
i78ovnty.exe -del service opxnxdy
i78ovnty.exe -del service wceytpb
i78ovnty.exe -del service wqubnx
i78ovnty.exe -del file "C:\WINDOWS\system32\qsuszum.dll"
i78ovnty.exe -del file "c:\windows\system32\drivers\kbiwkmxrlrnbvl.sys"
i78ovnty.exe -del file "c:\windows\system32\kbiwkmrsbowbiv.dll"
i78ovnty.exe -del file "c:\windows\system32\kbiwkmyouwgles.dat"
i78ovnty.exe -del file "c:\windows\system32\kbiwkmtmdcpbpr.dll"
i78ovnty.exe -del file "c:\windows\system32\kbiwkmycgsbgfe.dat"
i78ovnty.exe -del file "c:\windows\system32\kbiwkmcqioarov.dll"
i78ovnty.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ablngygf"
i78ovnty.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dlluser"
i78ovnty.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hooufqc"
i78ovnty.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmaafyqeds"
i78ovnty.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\myvzl"
i78ovnty.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\opxnxdy"
i78ovnty.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wceytpb"
i78ovnty.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wqubnx"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ablngygf"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\dlluser"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hooufqc"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kbiwkmaafyqeds"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\myvzl"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\opxnxdy"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\wceytpb"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\wqubnx"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ablngygf"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\dlluser"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hooufqc"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kbiwkmaafyqeds"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\myvzl"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\opxnxdy"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\wceytpb"
i78ovnty.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\wqubnx"
i78ovnty.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый логи: AVZ + gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Всё сделал как вы написали, логи прикрепил.
У меня 5 процессов svchost.exe - это нормально?
Последний раз редактировалось AT20009; 20.09.2009 в 15:13.
Причина: добавление вопроса
-
Ничего зловредного в логах нет. Что с проблемами?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Огромное спасибо! Все проблемы исчезли =) А что насчёт 5-ти svchost.exe? за это стоит беспокоиться?
Можно ли дать логи 2-ух других локальных дисков на проверку?
Последний раз редактировалось AT20009; 20.09.2009 в 15:26.
Причина: правка сообщения
-
Сообщение от
AT20009
А что насчёт 5-ти svchost.exe? за это стоит беспокоиться?
Это нормально.
Сообщение от
AT20009
Можно ли дать логи 2-ух других локальных дисков на проверку?
Не поняла. Вы имели ввиду компьютеров?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Нет, у меня жёсткий диск разделён на C , D и E, так вот можно ли вам для проверки дать логи D и E?
-
У вас на каждом диске по отдельной Windows???
-
-
Junior Member
- Вес репутации
- 54
Неет, у меня Windows на диске C , Я имею в виду проверку этих двух дисков, вероятно что они заражены?
-
Для этого используйте антивирус.
-
-
Junior Member
- Вес репутации
- 54
Ok! Спасибо Вам ОГРОМНОЕ!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\ctfmon.exe - Trojan-Ransom.Win32.VB.ap ( DrWEB: Trojan.Winlock.277 )
- c:\windows\system32\drivers\kbiwkmxrlrnbvl.sys - Packed.Win32.TDSS.z ( DrWEB: BackDoor.Tdss.407, BitDefender: Trojan.Generic.2305122, AVAST4: Win32:Alureon-CU [Rtk] )
- h:\autorun.inf - Worm.Win32.AutoRun.gtd ( BitDefender: Trojan.AutorunINF.Gen, AVAST4: BV:AutoRun-AA [Wrm] )
-