-
Junior Member
- Вес репутации
- 53
DownloadMaster
Начну по порядку, суть проблемы СМС вымогатель скриншот приведен ниже:
Система вин ХР ср3, Антивирусник (Avira обновлял на кануне заражения) работать перестал, зловред не дает запускать никакие ехе, сом, смд и другие исполняемые файлы, или перезагрузка или опять всплывает баннер, баннер можно убрать правой кнопкой по рабочему столу – «свойства»
из того что попробовал:
- Вызов диспетчера задач 3 кнопками(Ctrl+Alt+Del) не дает результата;
- точка восстановления не отключается, запрещено политикой;
- CureIt - не запустился;
- AVPTool – не запустился;
- AVZ и AVZ polymorf – не запустился;
- osam – не запустился;
- gmer\get4 – не запустился;
- Запуск интернет эксплорера через экранную лупу не помогает;
- hiJackThis – работает только переименованный с смд файлом(thx кто сделал его);
Код:
R3 - URLSearchHook: (no name) - - (no file) – был пофиксен;
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe – не было в списке;
O20 - AppInit_DLLs: C:\WINDOWS\system32\nbnlml.dll – в игнор листе был пофиксен;
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - JVMOD32.DLL (file missing) – не было в списке;
O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
O20 - AppInit_DLLs: C:\WINDOWS\system32\cntsqa.dll – не было в списке;
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 – бфл пофиксен;
O20 - AppInit_DLLs: C:\WINDOWS\system32\gke.dll - не было в списке;
Лог прилагаю.
Из live CD попробовал DrWeb ничего не было найдено, кроме archive OLE в hiJackThis.
Последний раз редактировалось 8t88; 22.01.2011 в 04:12.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Из под LiveCD почистите все временные папки (Temp, Temporary Internet Files) во всех аккаунтах. Затем пробуйте сделать логи.
-
-
1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.
-
-
Junior Member
- Вес репутации
- 53
удаление файлов не помогло но помог ввод кода(сенк кто нашел закономерность):
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1»
15.12.2009 -дата
После запуска Gmer перезагрузка
Новые логи:
- AVZ polymorf;
- osam;
- Combofix
- hiJackThis:
ЗЫ: поставил на проверку AVPTool.
Последний раз редактировалось 8t88; 22.01.2011 в 04:12.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\xwfvcmq.dll','');
QuarantineFile('c:\windows\system32\xjeudwab.dll','');
QuarantineFile('c:\windows\system32\uaazbs.dll','');
QuarantineFile('c:\windows\system32\tzm.dll','');
QuarantineFile('c:\windows\system32\mmptdf.dll','');
QuarantineFile('c:\windows\system32\le.dll','');
QuarantineFile('c:\windows\system32\gza.dll','');
QuarantineFile('c:\windows\system32\ettfoigs.dll','');
QuarantineFile('c:\windows\system32\di.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
скрипт выполнил
файл virus.zip загрузил
Файл сохранён как 091229_001510_virus_4b391fde8e0e5.zip
Размер файла 1053596
MD5 bc167da75b9cbedf21caf855153f443e
вот новые логи:
Последний раз редактировалось 8t88; 22.01.2011 в 04:12.
-
Логи AVZ сделайте обычной версией (не забыв обновить базы), а не полиморфом
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
обновил avz и комбофикс, сделал логи:
Последний раз редактировалось 8t88; 22.01.2011 в 04:12.
-
Чисто.Что с проблемой ?
Установите Internet Explorer 8
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
snifer67
Чисто.Что с проблемой ?
Установите Internet Explorer 8
все вроде бы ок
а ie 8 обязательно устанавливать?
thx за помощь
Последний раз редактировалось 8t88; 29.12.2009 в 21:24.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\di.dll - Packed.Win32.Krap.w
- c:\windows\system32\ettfoigs.dll - Packed.Win32.Krap.w
- c:\windows\system32\gza.dll - Packed.Win32.Krap.w
- c:\windows\system32\le.dll - Packed.Win32.Krap.w
- c:\windows\system32\mmptdf.dll - Packed.Win32.Krap.w
- c:\windows\system32\tzm.dll - Packed.Win32.Krap.w
- c:\windows\system32\uaazbs.dll - Packed.Win32.Krap.w
- c:\windows\system32\xjeudwab.dll - Packed.Win32.Krap.w
- c:\windows\system32\xwfvcmq.dll - Packed.Win32.Krap.w
-