Уведомление о необходимости оплаты

**andreydgk** · 12.10.2009, 17:45

Сегодня появилось сообщение, которое не выключается. Написано пока не отправлю смс уведомление не выключится. Был отключен диспетчер задач, сейчас включил. Удалить трояна не получилось.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 12.10.2009, 17:59

1. Скачайте заранее эту программу: http://www.veldhuizen.speedxs.nl/winsockxpfix.exe,
но пока не запускайте.

2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\B529~1.A95\LOCALS~1\Temp\don27.tmp','');
 QuarantineFile('C:\Documents and Settings\Андрей.A954F589B2CC407\Cookies\userlib.dll','');
 DeleteFile('C:\Documents and Settings\Андрей.A954F589B2CC407\Cookies\userlib.dll');
 DeleteFile('C:\DOCUME~1\B529~1.A95\LOCALS~1\Temp\don27.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.

Компьютер перезагрузится.

3. Есть некоторая вероятность, что после этого перестанет работать выход в локальную сеть и/или интернет. Тогда используйте скачанную программу. Имейте ввиду, что после нее придется заново ввести настройки сетевых подключений.

4. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=56989).

5. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**andreydgk** · 12.10.2009, 19:57

скрипт выполнил, сообщение удалено

**thyrex** · 12.10.2009, 21:19

Лог gmer сделайте

**andreydgk** · 12.10.2009, 23:18

вот гмер

**thyrex** · 12.10.2009, 23:25

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\ovfsthxmcklwowp.sys','');
DeleteFile('c:\windows\system32\drivers\ovfsthxmcklwowp.sys');
QuarantineFile('c:\windows\system32\ovfsthxrupxmybw.dll','');
DeleteFile('c:\windows\system32\ovfsthxrupxmybw.dll');
QuarantineFile('c:\windows\system32\ovfsthxeflyyvul.dll','');
DeleteFile('c:\windows\system32\ovfsthxeflyyvul.dll');
QuarantineFile('c:\windows\system32\ovfsthxbbqankol.dll','');
DeleteFile('c:\windows\system32\ovfsthxbbqankol.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится ebxv51vn.exe (gmer)

Код:

ebxv51vn.exe -del service ovfsthxmxfmqhrd
ebxv51vn.exe -del file "c:\windows\system32\drivers\ovfsthxmcklwowp.sys"
ebxv51vn.exe -del file "ovfsthxwi.dll"
ebxv51vn.exe -del file "ovfsthxff.dll"
ebxv51vn.exe -del file "c:\windows\system32\ovfsthxrupxmybw.dll"
ebxv51vn.exe -del file "c:\windows\system32\ovfsthxvjbappyu.dat"
ebxv51vn.exe -del file "c:\windows\system32\ovfsthxeflyyvul.dll"
ebxv51vn.exe -del file "c:\windows\system32\ovfsthxbbqankol.dll"
ebxv51vn.exe -del file "c:\windows\system32\ovfsthxwgvpwsww.dat"
ebxv51vn.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\ovfsthxmxfmqhrd"
ebxv51vn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxmxfmqhrd"
ebxv51vn.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\ovfsthxmxfmqhrd"
ebxv51vn.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

**andreydgk** · 13.10.2009, 00:35

Выполнил скрипт в АВЗ
Закачал карантин
запустил cleanup
сделал новый лог гмера. Сейчас о рутките не сообщает

**Bratez** · 13.10.2009, 03:01

В логе порядок.

После моего скрипта пришлось применять WinSocksFix или нет?

**andreydgk** · 13.10.2009, 11:36

WinSocksFix применять не понадобилось

**CyberHelper** · 14.10.2009, 11:36

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 9
В ходе лечения вредоносные программы в карантинах не обнаружены

Уведомление о необходимости оплаты (заявка № 56989)

Опции темы