добить СМС вымогателя

[Mst]

Здравствуйте, поймал вот такую заразу:
При загрузке выходят ошибки запуска программ из автозагрузки, затем отрубает все программы, на весь экран появляется окно с просьбой ввести код от отправленной смс.
в "лицензионном сограшении" данного "попрошайки" есть пункт "Если установленное ПО вас не устраивает введите код ...." вводил, но не помогает. Вводил код который на сайте Касперского генериться - тоже "ноль".

Вирус при запуске любой программы блокирует ее и запускает свою копию. каждые 5 секунд проверяет разрешение экрана, если изменено, то снова возвращает 1024х768. блокирует окна с названиями total commander, autorun(s) avz, cureit, drweb, не дает выйти в инет, запускать коммандную строку, диспетчер задач (включая аналоги типа proccess xp), мнгновенно удаляет все, что попадает в пункт автозагрузка любого пользователя.
безопасный режим вообще не дает запускать.
пробовал переименовывать Kaspersky Virus Removal Tool и запускать - не помогает. Запустился с WinXPE, прошелся CureIT, только после этого удалось запустить AVZ и HijackThis.
Теперь не запускаются диспетчер и т.п. , хотелось бы добить эту заразу, логи прилагаются

з.ы. Ну и С Новым Годом всех!!!!

[pig]

Приложите virusinfo_syscure.zip

[Шапельский Александр]

Пофиксить в Hijack следующие строки:

Код:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe bfwl.pgo jagktms

Выполнить скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pdltjo.dll','');
DeleteFile('C:\WINDOWS\system32\pdltjo.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(8);
Executerepair(11);
Executerepair(13);
Executerepair(14);
Executerepair(16);
Executerepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

затем следующий

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Обновите базы АВЗ!!!
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[Mst]

скрипты запустил, в найджеке пофиксил...

при попытке запустить обновление баз AVZ выдает: "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с http://www.z-oleg.com/secur/avz_up/ [21, 00002EFD]"

лог найджека в приложении

[Шапельский Александр]

Сделайте логи АВЗ без обновления баз, также сделайте лог MBAM

[pig]

Базы можно обновить, скачав отсюда архив с базами и распаковав его в папку Base.

[Mst]

Базы по ссылке скачал, поставил.

Выполняю первый пункт
"

Диагностика

1. Запустите AVZ*. Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip."
но в папке "LOG" лежит только virusinfo_cure.zip и больше ничего

MBAM поставил , обновления он также ставить не хочет пишет "Error code 732(2, 0)"
лог MBAM в приложении, пока ничего не удалял

[Mst]

Лог AVZ по шагу 2. во вложении
При запуске сканирования hijackthis вылезает окошко Outpost Firewall с предупреждением, причем в остальных случаях он себя никак не проявляет, лог во вложении
диспетчер и сэйфмод также не грузятся

[snifer67]

Удалите в mbam

Код:

Заражено ключей реестра:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Сделаете новый лог mbam+лог hijackthis

[thyrex]

+ к snifer67

1. Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pdltjo.dll','');
DeleteFile('C:\WINDOWS\system32\pdltjo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

>> Заблокированы настройки системы System Restore

Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить

3. Пуск - Выполнить - regedit
Щелкая по плюсикам, доберитесь в ветку

Код:

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Найдите в правой части параметр AppInit_DLLs и удалите в нем упоминания о C:\WINDOWS\system32\pdltjo.dll

4. Проверьте работу безопасного режима, диспетчера задач и редактора реестра

5. Сделайте новый лог virusinfo_syscheck.zip + логи, запрошенные snifer67

[Mst]

+ к snifer67

1. Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pdltjo.dll','');
DeleteFile('C:\WINDOWS\system32\pdltjo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

вместо перезагрузки, после выполнения скрипта, выдает:"Failed to set data for 'Displey Name'"

+ к snifer67

2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить

3. Пуск - Выполнить - regedit
Щелкая по плюсикам, доберитесь в ветку

Код:

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Найдите в правой части параметр AppInit_DLLs и удалите в нем упоминания о C:\WINDOWS\system32\pdltjo.dll

4. Проверьте работу безопасного режима, диспетчера задач и редактора реестра

5. Сделайте новый лог virusinfo_syscheck.zip + логи, запрошенные snifer67

2. отправил
+исправил
3. выполнил

4-5 пробую

безопасный режим не грузится , диспетчер задач - грузится

[thyrex]

Логи новые где?

[Mst]

как уже писал выполнение шага: "1. Запустите AVZ*. Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip."
не приводит к появлению файлов virusinfo_syscure.zip и avz_sysinfo.htm в папке "LOG", поэтому сохранил протокол из основного окошка AVZ в предложенный файлик с именем avz_log.txt (его тоже приаттачил, не знаю уж поможет он ли делу)

[Шапельский Александр]

Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Temp\Rar$EX00.672\game.exe','');
 BC_ImportAll;
Executerepair(6);
Executerepair(11);
Executerepair(17);
BC_Activate;
RebootWindows(true);
end.

Сделайте ст.скрипт №2
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог Gmer.

[Mst]

Карантин по ссылке вверху залил.

Лог Gmer здесь
Удалось наконец сделать полноценный virusinfo_syscure.zip после выполнения вышеприведенного скрипта, его тоже на всякий случай прилагаю.

Безопасный режим все также не работает, т.е. показывает список загрузки драйверов и вываливается в перезагрузку.

[Шапельский Александр]

Безопасный режим все также не работает, т.е. показывает список загрузки драйверов и вываливается в перезагрузку.

Попробуем исправить. Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(10);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

[Mst]

Спасибо огромное за помощь!
Вроде теперь все что надо заработало, даже стандартное переключение клавиатуры которое раньше приходилось делать с помощью мышки

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены