-
Junior Member
- Вес репутации
- 53
Вирус блокирует Windows и требует отправить смс на номер 3649
Добрый день! У меня вирус блокирует систему при запуске в виде окошка Центра обеспечения безопасности, в котором написано что во время обновления системы было обнаружена нелицензионная версия Windows. Для разблокировки требует отправить смс с текстом 212116 на номер 3649. Прогоняла через NOD32, ничего не нашел. Dr Web тоже. Сделала всё как написано в инструкции, только не смогла подключиться к Интернету, видимо повредилось соединение. Надеюсь на помощь, заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5335678596-4673360257-343895797-3948\dllrun32.exe','');
QuarantineFile('C:\NEXT\FILES\NEXT.exe','');
DeleteFile('C:\NEXT\FILES\NEXT.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nokia Pc SUITE');
DeleteFile('C:\RECYCLER\S-1-5-21-5335678596-4673360257-343895797-3948\dllrun32.exe');
DeleteFile('C:\WINDOWS\ctfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ctfmon.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysRun');
DeleteFile('E:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксить в HijackThis
Код:
R3 - Default URLSearchHook is missing
O20 - Winlogon Notify: jpgmgr - C:\WINDOWS\
O20 - Winlogon Notify: sccsumdm - C:\WINDOWS\system32\sccsumdm.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
ПК перезагрузите.
Сделайте новые логи(с обновленным avz).
-
-
Junior Member
- Вес репутации
- 53
Вот новые логи. К сожалению, снова пришлось прогонять через авз как написано во втором пункте но без интернета, потому что как только я нажала подключиться к интернету, сразу снова возникло это окошко и требованием отправить смс И пофиксить не получилось потому что у меня там нет таких строк как Вы написали =( после О18 сразу идет О23
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\ксения\DoctorWeb\Quarantine\501.exe','');
QuarantineFile('C:\Documents and Settings\ксения\DoctorWeb\Quarantine\2[1].exe','');
DeleteFile('C:\Documents and Settings\ксения\DoctorWeb\Quarantine\2[1].exe');
DeleteFile('C:\Documents and Settings\ксения\DoctorWeb\Quarantine\501.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winpu51');
BC_DeleteSvc('Winej84');
BC_DeleteSvc('Sxd51');
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
P.S. Рекомендуется установить SP3 и последующие обновления.
Последний раз редактировалось Bratez; 03.11.2009 в 16:36.
-
-
Junior Member
- Вес репутации
- 53
Все сделала, новые логи в прикреплении
-
-
-
Junior Member
- Вес репутации
- 53
Все работает! Спасибо огромное!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\ксения\doctorweb\quarantine\2[1].exe - Trojan-Ransom.Win32.SMSer.pu ( DrWEB: Trojan.Winlock.381, BitDefender: Trojan.Generic.2597874, AVAST4: Win32:Malware-gen )
- c:\documents and settings\ксения\doctorweb\quarantine\501.exe - Trojan-Ransom.Win32.SMSer.pu ( DrWEB: Trojan.Winlock.381, BitDefender: Trojan.Generic.2597874, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-5335678596-4673360257-343895797-3948\dllrun32.exe - P2P-Worm.Win32.Palevo.jvq ( DrWEB: Win32.HLLW.Lime.52, BitDefender: Worm.P2P.Palevo.O, AVAST4: Win32:Palevo-D [Wrm] )
- c:\windows\ctfmon.exe - Trojan-Ransom.Win32.SMSer.ny ( DrWEB: Trojan.Winlock.324, BitDefender: Trojan.Generic.2526028, NOD32: Win32/LockScreen.BU trojan )
-