Показано с 1 по 7 из 7.

SMS вымогатель на номер 5155 (заявка № 67173)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    79
    Вес репутации
    28

    Thumbs down SMS вымогатель на номер 5155

    Во вторник 12.01.10 подцепил SMS-вымогатель "Пришлите текст 592100041 на номер 5155". Спомощью Вашего сервиса разблокировки подобрал код к этому зверю. Не исключено, что остались хвосты в системе. Помогите при случае найти эти остатки. Логи прилагаю.
    Также есть вопрос.
    Система: XP Pro SP3, DrWeb 4.44 (базы обновляю ежедневно). При попытке скачать (распаковать, установить) QIP Infium RC4, Build 9032 с офф. сайта QIP'а антивирус ругается на наличие вируса Trojan.AVKill.origin. Саппорт QIP'а отреагировал на мой вопрос по этому поводу так - "Программа написана на Delphi....Всё ОК". Действительно ли всё нормально и безопасно?
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,686
    Вес репутации
    2832
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Admin\Cookies\userlib.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(9);
    ExecuteRepair(14);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    4. Пофиксите в HijackThis:

    O20 - Winlogon Notify: crypt - crypts.dll (file missing)
    5. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    79
    Вес репутации
    28
    После выполнения первого скрипта и перезагрузки системы начала вылезать системная ошибка "svchost.exe Application error 0x10002652....."
    Выполнил второй скрипт AVZ и пофиксил пункты в HJT с трудом.
    Компьютер не видит сетку и не выходит в интернет. Опера не запускается. Хотя сетевые подключения периодически появляются и правильно настроены (перезагружался раз 20). Сейчас идёт повторное сканирование AVZ'ом. Пишу с другого ПК.

  5. #4
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    79
    Вес репутации
    28
    Очередные логи
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,558
    Вес репутации
    738
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    В HiJackThis пофиксите:

    Код:
    O20 - Winlogon Notify: crypt - crypts.dll (file missing)

    В AVZ выполните скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('crypts.dll','');
     QuarantineFile('E:\Connect\Christmas kaledos_0.exe','');
     QuarantineFile('Coxsmbpt.sys','');
    BC_ImportAll;
    BC_Activate;
    ExecuteWizard('TSW',3,3,true);
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

  7. #6
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    79
    Вес репутации
    28
    большое спасибо за Вашу работу.
    просто переустановил систему - работа не ждёт.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,686
    Вес репутации
    2832
    Цитата Сообщение от APlayer Посмотреть сообщение
    просто переустановил систему - работа не ждёт.
    Зря, мы свою работу сделали. Вы теперь каждый раз будете переставлять систему, как только заразитесь?
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) APlayer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вымогатель номер МТС 8-988-503-82-35
      От UnderIceStorm в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.06.2011, 22:05
    2. sms-вымогатель баннер на номер 8353
      От fertuciy в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 10.05.2010, 10:46
    3. СМС- вымогатель номер 3649 текст 2146
      От akalibr в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.01.2010, 07:27
    4. СМС вымогатель на номер 7373
      От gohnny в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.01.2010, 22:05
    5. Ответов: 5
      Последнее сообщение: 30.12.2009, 00:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00174 seconds with 18 queries