Просит ввести смс с кодом М21720009 на номер 8353

**Andrey1302** · 02.12.2009, 18:51

После загрузки винды вылазит окно, типа вы нарушилы права проги uBest Net speed pro и просит ввести смс с кодом М21720009 на номер 8353. ни какая программа не запускается, даже в безопасном режиме.

проверил и доктором Dr.Web CureIt!® и утилитой AVZ, ни тот ни друй не нашел ни какого вируса.... что делать, помогите????

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**snifer67** · 02.12.2009, 18:58

Почитайте еще раз http://virusinfo.info/pravila.html

**Andrey1302** · 02.12.2009, 19:51

я это все прочитал, но я проверял зараженную систему из другой, так как в зараженной вирус не дает выполнить приложения,а при входе в папку AVZ вообще перезагружается сразу. как быть в этом случае? ведь из новой системы нет смысла собирать данные о зараженной, так?

**pig** · 02.12.2009, 19:53

HijackThis тоже не получается запустить?

**Andrey1302** · 02.12.2009, 21:09

кое как удалось сделать лог, так как вирус не дает создать файл hijackthis.log

**Шапельский Александр** · 02.12.2009, 21:16

Пофиксите

Код:

O20 - AppInit_DLLs: C:\WINSP3\system32\tgqzo.dll

Добавлено через 34 секунды

Затем логи по правилам

**Andrey1302** · 02.12.2009, 21:46

пофиксил как вы сказали, но результат тот же

тоже окно с кодом и ничего не запускается....
да и при повторном сканировании HijackThis строка уже такого вида
O20 - AppInit_DLLs: C:\WINSP3\system32\hou.dll

**Шапельский Александр** · 02.12.2009, 21:54

Безопасный режим работает? Если да, то загрузитесь. Почистите все файлы во всех временных папках (Temp, Temporay Internet Files) у всех аккаунтов. Потом пробуйте загрузиться в обычном режиме. Делайте логи.

**Andrey1302** · 02.12.2009, 22:36

удалил все временные папки как сказали.... вирус все еще присутствует. вот лог

**Andrey1302** · 02.12.2009, 23:06

что делать дальше?

**Шапельский Александр** · 02.12.2009, 23:15

Переименуйте этот файл C:\WINSP3\system32\h.dll
Пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINSP3\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe

Перезагрузите ПК

**Andrey1302** · 02.12.2009, 23:40

переименовал, вроде окно не появляется, пофиксил строку.... перезагруз

лог

**Шапельский Александр** · 03.12.2009, 00:07

Логи АВЗ сделайте, надо добить зловреда!

**Andrey1302** · 03.12.2009, 13:30

ок, сделал все логи. высылаю.

**Andrey1302** · 03.12.2009, 14:15

что дальше?

**Шапельский Александр** · 03.12.2009, 14:42

Пофиксить в Hijack следующие строки:

Код:

O20 - AppInit_DLLs: C:\WINSP3\system32\mbefj.dll
F2 - REG:system.ini: UserInit=C:\WINSP3\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
DelCLSID('67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431');
DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL2R3233771');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{93344865-74BD-4873-BE65-56539D41A65C}');
 QuarantineFile('C:\WINSP3\Downloaded Program Files\Earn2Life.dll','');
 QuarantineFile('c:\C\Settings\cl.exe','');
 QuarantineFile('c:\NEXT\FILES\NEXT.exe','');
 QuarantineFile('C:\WINSP3\system32\AVLibrary.dll','');
 QuarantineFile('C:\Program Files\Everstrike Software\Lock Folder XP 3.5\LF30XP.sys','');
 QuarantineFile('C:\WINSP3\system32\mbefj1.dll','');
 DeleteFile('C:\WINSP3\system32\mbefj1.dll');
 DeleteFile('C:\WINSP3\system32\AVLibrary.dll');
 DeleteFile('c:\NEXT\FILES\NEXT.exe');
 DeleteFile('c:\C\Settings\cl.exe');
 DeleteFile('C:\WINSP3\Downloaded Program Files\Earn2Life.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(14);
Executerepair(11);
Executerepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

**Andrey1302** · 03.12.2009, 14:52

а файл mbefj.dll надо обратно переименовывать?
я его переименовал в mbefj1.dll чтобы окно убралось

**Шапельский Александр** · 03.12.2009, 14:57

Не надо, я подправил скрипт. Он отработает.

**Andrey1302** · 03.12.2009, 16:08

ок, отослал карантин, вот логи.
да, теперь после загрузки системы автоматически загружется интернет ехплореер с сайтом http://butirat.com/job.php?num=2298187490&rev=53
это что???? в автозагрузке пусто.... как отключить?

**snifer67** · 03.12.2009, 16:22

Выполните скрипт в avz

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\winsp3\system32\winagent.exe','');
 DeleteFile('c:\winsp3\system32\winagent.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Internet Agent');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

Просит ввести смс с кодом М21720009 на номер 8353 (заявка № 62167)

Опции темы

Просит ввести смс с кодом М21720009 на номер 8353

Похожие темы

При входе в контакт просит ввести номер телефона

не могу зайти в контакт просит ввести номер телефона

Браузер перекидывает на подставной twitter.com и просит ввести номер телефона

не могу зайти в контакт просит ввести номер телефона

uBest Net speed pro с кодом М21720009 на номер 8353

Ваши права в разделе