-
Junior Member
- Вес репутации
- 53
добить СМС вымогателя
Здравствуйте, поймал вот такую заразу:
При загрузке выходят ошибки запуска программ из автозагрузки, затем отрубает все программы, на весь экран появляется окно с просьбой ввести код от отправленной смс.
в "лицензионном сограшении" данного "попрошайки" есть пункт "Если установленное ПО вас не устраивает введите код ...." вводил, но не помогает. Вводил код который на сайте Касперского генериться - тоже "ноль".
Вирус при запуске любой программы блокирует ее и запускает свою копию. каждые 5 секунд проверяет разрешение экрана, если изменено, то снова возвращает 1024х768. блокирует окна с названиями total commander, autorun(s) avz, cureit, drweb, не дает выйти в инет, запускать коммандную строку, диспетчер задач (включая аналоги типа proccess xp), мнгновенно удаляет все, что попадает в пункт автозагрузка любого пользователя.
безопасный режим вообще не дает запускать.
пробовал переименовывать Kaspersky Virus Removal Tool и запускать - не помогает. Запустился с WinXPE, прошелся CureIT, только после этого удалось запустить AVZ и HijackThis.
Теперь не запускаются диспетчер и т.п. , хотелось бы добить эту заразу, логи прилагаются
з.ы. Ну и С Новым Годом всех!!!!
Последний раз редактировалось pig; 31.12.2009 в 18:26.
Причина: карантин в теме - моветон
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Приложите virusinfo_syscure.zip
-
-
Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe bfwl.pgo jagktms
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pdltjo.dll','');
DeleteFile('C:\WINDOWS\system32\pdltjo.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(8);
Executerepair(11);
Executerepair(13);
Executerepair(14);
Executerepair(16);
Executerepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Обновите базы АВЗ!!!
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
скрипты запустил, в найджеке пофиксил...
при попытке запустить обновление баз AVZ выдает: "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с http://www.z-oleg.com/secur/avz_up/ [21, 00002EFD]"
лог найджека в приложении
-
Сделайте логи АВЗ без обновления баз, также сделайте лог MBAM
-
-
Базы можно обновить, скачав отсюда архив с базами и распаковав его в папку Base.
-
-
Junior Member
- Вес репутации
- 53
Базы по ссылке скачал, поставил.
Выполняю первый пункт
"
Диагностика
1. Запустите AVZ*. Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip."
но в папке "LOG" лежит только virusinfo_cure.zip и больше ничего
MBAM поставил , обновления он также ставить не хочет пишет "Error code 732(2, 0)"
лог MBAM в приложении, пока ничего не удалял
-
Junior Member
- Вес репутации
- 53
Лог AVZ по шагу 2. во вложении
При запуске сканирования hijackthis вылезает окошко Outpost Firewall с предупреждением, причем в остальных случаях он себя никак не проявляет, лог во вложении
диспетчер и сэйфмод также не грузятся
-
Удалите в mbam
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Сделаете новый лог mbam+лог hijackthis
-
-
+ к snifer67
1. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pdltjo.dll','');
DeleteFile('C:\WINDOWS\system32\pdltjo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
>> Заблокированы настройки системы System Restore
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
3. Пуск - Выполнить - regedit
Щелкая по плюсикам, доберитесь в ветку
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Найдите в правой части параметр AppInit_DLLs и удалите в нем упоминания о C:\WINDOWS\system32\pdltjo.dll
4. Проверьте работу безопасного режима, диспетчера задач и редактора реестра
5. Сделайте новый лог virusinfo_syscheck.zip + логи, запрошенные snifer67
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
+ к
snifer67
1. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pdltjo.dll','');
DeleteFile('C:\WINDOWS\system32\pdltjo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
вместо перезагрузки, после выполнения скрипта, выдает:"Failed to set data for 'Displey Name'"
Сообщение от
thyrex
+ к
snifer67
2. Пришлите карантин согласно
Приложения 3 правил по красной ссылке
Прислать запрошенный карантин вверху темы
Исправьте через
AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное -
Исправить
3.
Пуск - Выполнить - regedit
Щелкая по плюсикам, доберитесь в ветку
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Найдите в правой части параметр
AppInit_DLLs и удалите в нем упоминания о
C:\WINDOWS\system32\pdltjo.dll
4. Проверьте работу безопасного режима, диспетчера задач и редактора реестра
5. Сделайте новый лог virusinfo_syscheck.zip + логи, запрошенные snifer67
2. отправил
+исправил
3. выполнил
4-5 пробую
безопасный режим не грузится , диспетчер задач - грузится
Последний раз редактировалось Mst; 03.01.2010 в 22:36.
Причина: updute
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
как уже писал выполнение шага: "1. Запустите AVZ*. Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip."
не приводит к появлению файлов virusinfo_syscure.zip и avz_sysinfo.htm в папке "LOG", поэтому сохранил протокол из основного окошка AVZ в предложенный файлик с именем avz_log.txt (его тоже приаттачил, не знаю уж поможет он ли делу)
-
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Temp\Rar$EX00.672\game.exe','');
BC_ImportAll;
Executerepair(6);
Executerepair(11);
Executerepair(17);
BC_Activate;
RebootWindows(true);
end.
Сделайте ст.скрипт №2
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог Gmer.
-
-
Junior Member
- Вес репутации
- 53
Карантин по ссылке вверху залил.
Лог Gmer здесь
Удалось наконец сделать полноценный virusinfo_syscure.zip после выполнения вышеприведенного скрипта, его тоже на всякий случай прилагаю.
Безопасный режим все также не работает, т.е. показывает список загрузки драйверов и вываливается в перезагрузку.
-
Сообщение от
Mst
Безопасный режим все также не работает, т.е. показывает список загрузки драйверов и вываливается в перезагрузку.
Попробуем исправить. Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(10);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 53
Спасибо огромное за помощь!
Вроде теперь все что надо заработало, даже стандартное переключение клавиатуры которое раньше приходилось делать с помощью мышки
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-