Показано с 1 по 7 из 7.

Очередной sms вымогатель на пол экрана (заявка № 65390)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    37

    Thumbs up Очередной sms вымогатель на пол экрана

    Добрый день

    Не буду оригинален. Компьютер(Win XP SP3) подхватил вирус - в результате почти на весь экран сообщение мол отправьте sms с кодом и т.д.
    Диспетчер задач заблокирован, process explorer после запуска сразу закрывается, разрешение экрана меняется на низкое.

    1 нюанс.. из-за вируса логи были сделаны под другой учетной записью, где назойливого окна нет

    Помогите
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\bfwl.pgo','');
     DeleteFile('C:\WINDOWS\system32\bfwl.pgo');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пока запускайте учетку, где делали логи.

    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=65390).

    Включите в проводнике показ скрытых и системных файлов и папок,
    откройте профиль того пользователя, где был баннер:
    C:\Documents and Settings\имя_пользователя\
    и в нем:
    1. Очистите полностью папки Temp и Temporary Internet Files.
    2. Проверьте в папке Application Data (но не в ее подпапках!) наличие исполняемых файлов.
    Если найдутся - переместите их куда-нибудь в отдельную папку.

    Перезагрузите компьютер и войдите в учетку, где был баннер.
    Попробуйте сделать логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    37
    Bratez
    Спасибо за отклик!
    Карантин с тремя файлами выслал,
    временные файлы зачистил, в папке Application data подозрительных исполняемых файлов нет.
    Зашел под зараженной учетной записью - вывалились ошибки, что не удается запустить файл lwjk.bat. Почистил в реестре информацию об этом файле, больше ошибки не появляются, зловредный баннер исчез, process explorer стал запускаться.
    Остались проблемы:
    слетели иконки к ms office, не отображается иконка корзины, пункт запуска диспетчера задач неактивен, через Пуск->Выполнить не запускается редактор реестра ("редактирование реестра запрещено администратором системы").
    Под другой учетной записью все работает (кроме иконок офиса).
    Логи из-под зараженной учетной записи прикладываю.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,699
    Вес репутации
    3028
    Вот это блокировали сами?
    >> Заблокирована закладка Заставка в окне свойств экрана
    >> Internet Explorer - заблокирована настройка домашней страницы
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\stolarovaea\restorer64_a.exe','');
     QuarantineFile('C:\Documents and Settings\stolarovaea\Application Data\svcst.exe','');
     QuarantineFile('C:\Documents and Settings\stolarovaea\Application Data\seres.exe','');
     DeleteFile('C:\Documents and Settings\stolarovaea\Application Data\seres.exe');
     DeleteFile('C:\Documents and Settings\stolarovaea\Application Data\svcst.exe');
     DeleteFile('C:\Documents and Settings\stolarovaea\restorer64_a.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(11);
    ExecuteREpair(17);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    37
    Цитата Сообщение от thyrex Посмотреть сообщение
    Вот это блокировали сами?
    Да, так и должно быть.

    Сейчас все нормально, все кроме иконок работает.
    Тему можно закрывать, Спасибо!

    На всякий случай пркрепляю логи и карантин(по указанным путям не было файлов).

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Чисто.
    I am not young enough to know everything...

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\bfwl.pgo - Trojan.Win32.Agent.deym


  • Уважаемый(ая) gbcfk(f)^, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. очередной вымогатель
      От ДИМАС в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.01.2011, 13:42
    2. Очередной вымогатель
      От alivan в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 04.08.2010, 16:52
    3. Очередной ВЫМОГАТЕЛЬ!
      От sotman в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.02.2010, 16:48
    4. Очередной SMS-вымогатель
      От spoul в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.12.2009, 22:46
    5. Очередной банер-вымогатель
      От pog0 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 05.12.2009, 14:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00145 seconds with 17 queries