Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

смс-вымогатель, остаточное лечение (заявка № 72177)

  1. #1
    Junior Member Репутация
    Регистрация
    24.02.2010
    Сообщений
    27
    Вес репутации
    29

    Question смс-вымогатель, остаточное лечение

    Поймал данную гадость. По совету друга ввел код с сайта деблокера и винда открылась, но были заблочены Regedit и диспетчер задач. Сканирование AVP из данной учетной записи эффекта не дало. Чтоб не использовать LiveCD, подключил старый жесткий с системой и грузился с него. Проверка ничего не изменила. Разблокировка утилитой AVZ диспетчера и редактора реестра эффекта не дала-их окна закрывались сразу после открытия. После, AVZ нашла некоторые подозрительные процессы и удалила их. Все вернулось на круги своя, но по совету с вашего форума хотел бы пройти остаточное лечение. Спасибо, если кто-то откликнется.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    1. Пожалуйста, выполните скрипт AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     QuarantineFile('Ati2evxx.dll', 'CHQ=N');
     QuarantineFile('atioglxx.dll', 'CHQ=N');
     QuarantineFile('d347bus.sys', 'CHQ=N');
     QuarantineFile('lmaquzw.sys', 'CHQ=N');
     QuarantineFile('npkcrypt.sys', 'CHQ=N');
     QuarantineFile('uitwo.sys', 'CHQ=N');
     QuarantineFile('VFILT.sys', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\pgsmbus.sys', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\pgsmmdfl.sys', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\pgsmmdm.sys', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\siside.sys', 'CHQ=N');
     QuarantineFile('C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\system32\Ati2evxx.exe', 'CHQ=G');
     QuarantineFile('C:\WINDOWS\system32\drivers\sisidex.sys', 'CHQ=G');
     BC_QrFile('C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS');
     ExecuteWizard('TSW', 3, 3, true);
     BC_Activate;
     RebootWindows(true);
    end.
    В ходе выполнения скрипта компьютер перезагрузится.
    2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
     QuarantineFile('C:\WINDOWS\System32\ipbootp.dll','');
     QuarantineFile('C:\Program Files\Permeo\Security Driver\cwindom.dll','');
     QuarantineFile('C:\Program Files\Permeo\Security Driver\cssl.dll','');
     QuarantineFile('C:\Program Files\Permeo\Security Driver\csecureid.dll','');
     QuarantineFile('C:\Program Files\Permeo\Security Driver\cldap.dll','');
    end.
    пришлите карантин согласно приложения 3 правил
    такой http://www.gmer.net/ лог сделайте

  5. #4
    Junior Member Репутация
    Регистрация
    24.02.2010
    Сообщений
    27
    Вес репутации
    29
    Карантин выслан. Первый файл не в карантине-ошибка прямого чтения. Остаьлные файлы относятся к безобидному проксификатору, но в принципе могли быть модифицированы. Жду дальнейших указаний.
    Последний раз редактировалось raintear; 25.02.2010 в 15:27.

  6. #5
    Junior Member Репутация
    Регистрация
    24.02.2010
    Сообщений
    27
    Вес репутации
    29
    Лог от Gmera

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    сохраните содеожимое в блокноте как 1.bat в папке со gmer запустите ... повторите логи
    Код:
    xthmeh1g.exe -del service ibfsp
    xthmeh1g.exe -del service rvffaxuup        
    xthmeh1g.exe -del file "C:\WINDOWS\system32\xdzktyl.dll"
    xthmeh1g.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ibfsp"                                                                                                                            
    xthmeh1g.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rvffaxuup"                                                                                                                    
    xthmeh1g.exe -del reg " HKLM\SYSTEM\ControlSet002\Services\ibfsp"                                                                                                                        
    xthmeh1g.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rvffaxuup"                                                                                                                             
    xthmeh1g -reboot

  8. #7
    Junior Member Репутация
    Регистрация
    24.02.2010
    Сообщений
    27
    Вес репутации
    29
    Батник выполнил. Лог от Gmera прилагается.

  9. #8
    Junior Member Репутация
    Регистрация
    24.02.2010
    Сообщений
    27
    Вес репутации
    29
    Я извиняюсь за настойчивость, но в последнее время начал замечать за компом повышенную тормознутость. На сколько я могу судить, куски от вируса еще здесь, правда не понятно на сколько они работоспособны. Если мне не о чем беспокоится, то так и напишите. Если я что-то сделал не так, напишите, что я ламер, и со мной никто возится не будет, и я спокойно начну искать другие варианты. Спасибо.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    далеко не куски все на месте ... запускайте заново ...

  11. #10
    Junior Member Репутация
    Регистрация
    24.02.2010
    Сообщений
    27
    Вес репутации
    29
    Зпаустил батник еще раз, причем из SafeMode. Ругался на некоторые файлы под предлогом их отсутствия. Но судя по отчетам этих файлов действительно небыло. Итоги запуска в логе Gmer.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Лог чист. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    24.02.2010
    Сообщений
    27
    Вес репутации
    29
    Трудно сказать, я не специалист. Явные проявления, как то блокировка винды, диспетчера задач, и регедита устранились уже после правки с помошью AVZ. Батник добил какие-то библиотеки. Теперь AVZ ругается на перехват каких-то 14 функций, говорит, что код перехватчика блокирован и все исправлено, просит перезагрузки. После перегруза та же ругань. Как еще посканить систему я не знаю. Субьективно мне кажется, что система тормозит слегка, правда тестов я никаких не делал, все на ощущениях. Если есть мысли по поисук недобитков, готов все выполнить. Если нет, быдем считать, что поциэнт здоров.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Цитата Сообщение от raintear Посмотреть сообщение
    Теперь AVZ ругается на перехват каких-то 14 функций, говорит, что код перехватчика блокирован и все исправлено, просит перезагрузки. После перегруза та же ругань.
    На это внимание не обращайте

    Установите SP3 (может потребоваться активация) + все новые заплатки
    Установите Internet Explorer 8
    Установите Adobe Acrobat 9.3 или удалите старый
    Обновите JavaRE
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    24.02.2010
    Сообщений
    27
    Вес репутации
    29
    Яву обновил, а Акробата удалил. Эксплорер и сервиспак ищу.
    Пока я этим занимался в системе обнаружился еще один вымогатель. НА этот раз он представился порнобаннером и попросил отослать смс, чтоб его окно не висело поверх остальных. Поскольку Винда оставалась работоспособной, ведь вымогатель был всего лишь в виде окна в центре экрана, мне удалось обновить антивирус и отключить автозагрузку виря. Антивирус что-то удалил, но возможно не полностью. Правила я читал, и по идее надо писать новую заявку, но поскольку система та же, и с предыдущим вирусом еще не все понятно, я счел возможным написать снова сюда. Файлы сканирования прилагаются.
    П.С. Систему так же лечил с помошью ливсиди от Доктора Веба.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Лог gmer делайте
    Снова Кидо подцепили
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    24.02.2010
    Сообщений
    27
    Вес репутации
    29
    Лог сделал. Вот только я не пойму, где я так мог нахватать этого добра. Если можно, объясните процесс поражения компа этой гадостью, или посоветуйте где искать.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Ложная тревога. А все потому, что лог virusinfo_syscure.zip выложили старый. Будьте, пожалуйста, внимательны
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    24.02.2010
    Сообщений
    27
    Вес репутации
    29
    Прошу прощения, по дате проверил только syscheck. Только смущает меня еще вт что. В меню автозагрузки в msconfig присутствуют элементы, либо совсем без названия, либо вместо названия иероглифы, то же самое с их командой, однако ключ в реестре есть. Плюс к тому в меню пуск-Программы появилась папка "Автозагрузка-" помимо собственно автозагрузки. После перезагрузки опять появляется, но там пусто. Есть ли повод для беспокойства? Кроме описанных вроде больше ничего не беспокоит.

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Давайте еще так проверимся http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    24.02.2010
    Сообщений
    27
    Вес репутации
    29
    Проверил, результат прилагается.

  • Уважаемый(ая) raintear, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Остаточные явления
      От Sibirian в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.06.2010, 11:04
    2. Ответов: 4
      Последнее сообщение: 16.03.2010, 16:15
    3. смс-блокиратор. остаточное лечение.
      От Zohei в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 07.03.2010, 15:37
    4. остаточная чистка
      От Tritan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.01.2010, 12:30
    5. Ответов: 5
      Последнее сообщение: 25.12.2009, 15:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00010 seconds with 16 queries