-
Junior Member
- Вес репутации
- 52
смс-вымогатель, остаточное лечение
Поймал данную гадость. По совету друга ввел код с сайта деблокера и винда открылась, но были заблочены Regedit и диспетчер задач. Сканирование AVP из данной учетной записи эффекта не дало. Чтоб не использовать LiveCD, подключил старый жесткий с системой и грузился с него. Проверка ничего не изменила. Разблокировка утилитой AVZ диспетчера и редактора реестра эффекта не дала-их окна закрывались сразу после открытия. После, AVZ нашла некоторые подозрительные процессы и удалила их. Все вернулось на круги своя, но по совету с вашего форума хотел бы пройти остаточное лечение. Спасибо, если кто-то откликнется.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пожалуйста, выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('Ati2evxx.dll', 'CHQ=N');
QuarantineFile('atioglxx.dll', 'CHQ=N');
QuarantineFile('d347bus.sys', 'CHQ=N');
QuarantineFile('lmaquzw.sys', 'CHQ=N');
QuarantineFile('npkcrypt.sys', 'CHQ=N');
QuarantineFile('uitwo.sys', 'CHQ=N');
QuarantineFile('VFILT.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\pgsmbus.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\pgsmmdfl.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\pgsmmdm.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\siside.sys', 'CHQ=N');
QuarantineFile('C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\Ati2evxx.exe', 'CHQ=G');
QuarantineFile('C:\WINDOWS\system32\drivers\sisidex.sys', 'CHQ=G');
BC_QrFile('C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS');
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean
-
-
выполните скрипт
Код:
begin
QuarantineFile('C:\WINDOWS\System32\ipbootp.dll','');
QuarantineFile('C:\Program Files\Permeo\Security Driver\cwindom.dll','');
QuarantineFile('C:\Program Files\Permeo\Security Driver\cssl.dll','');
QuarantineFile('C:\Program Files\Permeo\Security Driver\csecureid.dll','');
QuarantineFile('C:\Program Files\Permeo\Security Driver\cldap.dll','');
end.
пришлите карантин согласно приложения 3 правил
такой http://www.gmer.net/ лог сделайте
-
-
Junior Member
- Вес репутации
- 52
Карантин выслан. Первый файл не в карантине-ошибка прямого чтения. Остаьлные файлы относятся к безобидному проксификатору, но в принципе могли быть модифицированы. Жду дальнейших указаний.
Последний раз редактировалось raintear; 25.02.2010 в 15:27.
-
Junior Member
- Вес репутации
- 52
-
сохраните содеожимое в блокноте как 1.bat в папке со gmer запустите ... повторите логи
Код:
xthmeh1g.exe -del service ibfsp
xthmeh1g.exe -del service rvffaxuup
xthmeh1g.exe -del file "C:\WINDOWS\system32\xdzktyl.dll"
xthmeh1g.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ibfsp"
xthmeh1g.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rvffaxuup"
xthmeh1g.exe -del reg " HKLM\SYSTEM\ControlSet002\Services\ibfsp"
xthmeh1g.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rvffaxuup"
xthmeh1g -reboot
-
-
Junior Member
- Вес репутации
- 52
Батник выполнил. Лог от Gmera прилагается.
-
Junior Member
- Вес репутации
- 52
Я извиняюсь за настойчивость, но в последнее время начал замечать за компом повышенную тормознутость. На сколько я могу судить, куски от вируса еще здесь, правда не понятно на сколько они работоспособны. Если мне не о чем беспокоится, то так и напишите. Если я что-то сделал не так, напишите, что я ламер, и со мной никто возится не будет, и я спокойно начну искать другие варианты. Спасибо.
-
далеко не куски все на месте ... запускайте заново ...
-
-
Junior Member
- Вес репутации
- 52
Зпаустил батник еще раз, причем из SafeMode. Ругался на некоторые файлы под предлогом их отсутствия. Но судя по отчетам этих файлов действительно небыло. Итоги запуска в логе Gmer.
-
Лог чист. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Трудно сказать, я не специалист. Явные проявления, как то блокировка винды, диспетчера задач, и регедита устранились уже после правки с помошью AVZ. Батник добил какие-то библиотеки. Теперь AVZ ругается на перехват каких-то 14 функций, говорит, что код перехватчика блокирован и все исправлено, просит перезагрузки. После перегруза та же ругань. Как еще посканить систему я не знаю. Субьективно мне кажется, что система тормозит слегка, правда тестов я никаких не делал, все на ощущениях. Если есть мысли по поисук недобитков, готов все выполнить. Если нет, быдем считать, что поциэнт здоров.
-
Сообщение от
raintear
Теперь AVZ ругается на перехват каких-то 14 функций, говорит, что код перехватчика блокирован и все исправлено, просит перезагрузки. После перегруза та же ругань.
На это внимание не обращайте
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Яву обновил, а Акробата удалил. Эксплорер и сервиспак ищу.
Пока я этим занимался в системе обнаружился еще один вымогатель. НА этот раз он представился порнобаннером и попросил отослать смс, чтоб его окно не висело поверх остальных. Поскольку Винда оставалась работоспособной, ведь вымогатель был всего лишь в виде окна в центре экрана, мне удалось обновить антивирус и отключить автозагрузку виря. Антивирус что-то удалил, но возможно не полностью. Правила я читал, и по идее надо писать новую заявку, но поскольку система та же, и с предыдущим вирусом еще не все понятно, я счел возможным написать снова сюда. Файлы сканирования прилагаются.
П.С. Систему так же лечил с помошью ливсиди от Доктора Веба.
-
Лог gmer делайте
Снова Кидо подцепили
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Лог сделал. Вот только я не пойму, где я так мог нахватать этого добра. Если можно, объясните процесс поражения компа этой гадостью, или посоветуйте где искать.
-
Ложная тревога. А все потому, что лог virusinfo_syscure.zip выложили старый. Будьте, пожалуйста, внимательны
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Прошу прощения, по дате проверил только syscheck. Только смущает меня еще вт что. В меню автозагрузки в msconfig присутствуют элементы, либо совсем без названия, либо вместо названия иероглифы, то же самое с их командой, однако ключ в реестре есть. Плюс к тому в меню пуск-Программы появилась папка "Автозагрузка-" помимо собственно автозагрузки. После перезагрузки опять появляется, но там пусто. Есть ли повод для беспокойства? Кроме описанных вроде больше ничего не беспокоит.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Проверил, результат прилагается.