-
Junior Member
- Вес репутации
- 54
окно антивируса требует отправить смс
Добрый день
Подцепили заразу - при входе в систему появляется окно какого то интернет секьюрити (такой программы не установлено), происходит сканирование системы, далее предлагается выбрать чего делать с найденными вырусами, а далее отправить смс для активации (принтскрины окошек в прикрепленно архиве, пароль - virus).
Установлен лицензионный др.вэб, обновляется постоянно, виндовс хп, так же встроенный фаервол включен.
После появления заразы вэб не может обновиться, сканер не запускается, диспетчер задач вызывается на секунду и исчезает, интернет соединение пропало (в сетевых подключениях вообще нет значка, пришлось поставить заново), пользователь ограничен в правах, под администратором данное окно не выскакивает, но вэб все равно не работает.
Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
такой http://www.gmer.net/ еще лог с делайте ...
-
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Мурл\Local Settings\Temp\yzbalj.dll','');
QuarantineFile('C:\Documents and Settings\Мурл\Local Settings\Temp\xmnru.dll','');
DeleteFile('C:\Documents and Settings\Мурл\Local Settings\Temp\yzbalj.dll');
DeleteFile('C:\Documents and Settings\Мурл\Local Settings\Temp\xmnru.dll');
QuarantineFile('C:\Program Files\sXe Injected\ddsxei.sys','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по Правилам.
Сделать заново логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Gmer сделать не смог - 1 раз комп завис, 2 раз синий экран
-
Выполните скрипт. Если что-то попадет в карантин то пришлите через красную ссылку.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
скрипт с двух попыток до конца так и не выполнен, в карантин закидывает первые два, а удалять нет - комп виснет ни на что не реагирует
карантин закинул
Файл сохранён как 100109_171324_virus_4b488f04b76c4.zip
Размер файла 1346695
MD5 f6ede703294204bfdb47ef4bd1c3f858
логи прикрепляю
Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.
-
Обе dll из Темпа по ВТ чистые, даже ни одного подозрения.
Подождем ответа Вирлаба.
Добавлено через 3 минуты
1) Скачайте http://download.bleepingcomputer.com/Merijn/adsspy.zip
2) Загрузите компьютер с какого-нибудь LiveCD на базе Windows
3) Запустите скаченный ADSSpy.exe
4) Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
5) Нажмите кнопку Scan the system for alternate data stream
6) На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите View steam contens
7) Нажмите кнопку Save to disk
8 ) Сохраните файл с именем похожим на то, что написано внизу окна ADS Spy в строчке Viewing content of ....
9) Нажмите кнопку Back
10) Повторите с шага 6 процедуру для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить)
11) Запакуйте сохраненные файлы в zip-архив с паролем virus
и загрузите через ссылку Прислать запрошенный карантин вверху этой темы.
Последний раз редактировалось PavelA; 09.01.2010 в 17:54.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
выполнил, результат найдено 0
зараза так и грузится при запуске системы.
вирус загружается только при запуске системы ограниченным пользователем (стоит автоматическая загрузка) под администратором окна этого нет,
все тесты делаю под администратора, т.к. с другого пользователя ни одна программа не запускается
Последний раз редактировалось Fox-RK; 09.01.2010 в 23:00.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 54
-
C:\Documents and Settings\Мурл\Local Settings\Temp\xmnru.dll и
C:\Documents and Settings\Мурл\Local Settings\Temp\yzbalj.dll - мусор.
Остальные чистые.
-
-
Junior Member
- Вес репутации
- 54
в инете нашел алгоритм подбора кода, чтоб убрать блокировку системы без отсылки смс, подобрал, окно пропало.
посмотрите логи сделаные из рабочей учетки
Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Мурл\Local Settings\Temp\yzbalj.dll');
DeleteFile('C:\Documents and Settings\Мурл\Local Settings\Temp\xmnru.dll');
DeleteFileMask('C:\Documents and Settings\Мурл\Local Settings\Temp', '*.*',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите лог по п.1 Диагностики.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
не получается, на первом делете комп зависает и ни на что не реагирует (только выключить принудительно), при попытке ручного удаления (начал со второго файла) такая же картина, при чем нет надписи что удалить нельзя или еще чего нить, просто вис и все
Добавлено через 1 минуту
может они как нить в процессах прицеплены или еще чего нить?
Добавлено через 1 минуту
кстати из рабочей учетки (Мурл) я не могу зайти на вирусинфо, инет работает, сайты грузит, а к вам никак
Добавлено через 4 минуты
и антивирусник не могу востановить
Последний раз редактировалось Fox-RK; 11.01.2010 в 19:48.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-