Показано с 1 по 19 из 19.

sms-вымогатель баннер на номер 8353 (заявка № 77865)

  1. #1
    Junior Member Репутация
    Регистрация
    07.05.2010
    Сообщений
    8
    Вес репутации
    28

    Thumbs up sms-вымогатель баннер на номер 8353

    Заранее спасибо большое за уделенное внимание!
    Больше месяца назад перестал обновляться nod32. Четыре дня назад произошло странное: после включения компьютер перезагрузился, после чего самоустановился антивирус Microsoft Security Essentials. 2 дня назад этот антивирус нашел угрозу, и для излечения компьютера предлагал ввести серийник Windows или оплатить лицензию через смс или web money. Nod32 не был удален, но не запускался.
    Вчера я удалил Microsoft Security Essentials, перезагрузил компьютер, и всплыл порно-баннер вверху экрана. Деблокеры с virusinfo, drweb, support.kaspersky не помогли (пробовал все предложенные коды).
    Установил другую версию nod32, в итоге ekrn.exe бесполезно висит запущенный в Диспетчере задач, при запуске антивируса из меню пуск: «Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения», а при запуске непосредственно «egui.exe» выдает: «Программа не запускается».
    Доступ к реестру закрыт (это исправляется через политики безопасности).
    Программа-баннер легко завершается через Диспетчер задач. Каждый раз при загрузке баннер имеет разное имя (например: "98jUHtK.exe", "hMAHfDI.exe"). Эти файлы каждый раз запускаются из C:\WINDOWS\system32\
    Запуск баннера предотвратил, отключив автозагрузку файла: C:\WINDOWS\system32\WUBuA.exe
    Однако запуск nod32 по-прежнему невозможен (пробовал переустановить).
    Спасибо за помощь!
    Последний раз редактировалось fertuciy; 07.05.2010 в 14:10.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    138
    Закройте все программы, выгрузите антивирус, фаерволл
    Отключите ПК от интеренета, локальной сети.
    пофиксите В HijackThis:
    Код:
    F3 - REG:win.ini: load=C:\WINDOWS\system32\OhzeF.exe
    Выполните в AVZ скрипт:
    Код:
    begin
    ExecuteWizard('TSW',3,3,true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\ZT0muEb.exe','');
    QuarantineFile('C:\WINDOWS\system32\RMP9SJX.exe','');
    QuarantineFile('C:\WINDOWS\system32\qoumeVV.exe','');
    QuarantineFile('C:\WINDOWS\system32\FeHRYas.exe','');
    QuarantineFile('C:\WINDOWS\system32\9jqMQ71.exe','');
    QuarantineFile('C:\WINDOWS\system32\944HZrf.exe','');
     QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
    QuarantineFile('C:\WINDOWS\system32\OhzeF.exe','');
    DeleteFile('C:\WINDOWS\system32\OhzeF.exe');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\OTihr.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc24.tmp','');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc24.tmp');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    DeleteFile('C:\WINDOWS\system32\944HZrf.exe');
    DeleteFile('C:\WINDOWS\system32\9jqMQ71.exe');
    DeleteFile('C:\WINDOWS\system32\9jqMQ71.exe');
    DeleteFile('C:\WINDOWS\system32\qoumeVV.exe');
    DeleteFile('C:\WINDOWS\system32\RMP9SJX.exe');
    DeleteFile('C:\WINDOWS\system32\ZT0muEb.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteRepair(20);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер сам перезагрузится.
    Выполните после перезагрузки такой скрипт:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'virus.zip');
    end.
    В папке c АВЗ сохранится virus.zip.
    Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
    Повторите логи.

    + Сделайте лог Gmer

  4. #3
    Junior Member Репутация
    Регистрация
    07.05.2010
    Сообщений
    8
    Вес репутации
    28
    Спасибо за оперативность.
    ekrn.exe не выгружается (отказано в доступе).
    строчки в HijackThis "F3 - REG:win.ini: load=C:\WINDOWS\system32\OhzeF.exe" не оказалось.
    Послал файл virus.zip. Файл сохранён как: 100507_155303_virus_4be3ff1f17de8.zip
    Gmer запускается, начинает автопроверку, и через несколько секунд BSOD (трижды запускал, все программы закрывал, из трея все выгружал, локалка\инет отключены)
    Через час сделаю virusinfo_syscure.zip , virusinfo_syscheck.zip, hijackthis.log.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    138
    Посмотрите здесь про выгрузку Nod32:http://virusinfo.info/showthread.php?t=57441
    Если не получится, попробуйте отключить службы, связанные с NOD32, и перезагрузиться.
    Скорее всего Gmer не срабатывает из-за работающего Нода.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Цитата Сообщение от fertuciy Посмотреть сообщение
    Gmer запускается, начинает автопроверку, и через несколько секунд BSOD
    Попробуйте в безопасном режиме
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    07.05.2010
    Сообщений
    8
    Вес репутации
    28
    Посмотрите здесь про выгрузку Nod32...
    Кроме наличия ekrn.exe в списке процессов антивирус никак себя не проявлял. Запустить диалоговое окно nod32 не удалось.

    Скорее всего Gmer не срабатывает из-за работающего Нода.
    Удалил nod32, но Gmer продолжает вылетать с ошибкой с последующим BSOD.

    Попробуйте в безопасном режиме
    Gmer все равно вылетает с ошибкой на этапе автопроверки при пуске.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    138
    + к thyrex такой скрипт выполните:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_QrSvc('rsxvkyw');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно 3 пункту приложения к правилам.

  10. #9
    Junior Member Репутация
    Регистрация
    07.05.2010
    Сообщений
    8
    Вес репутации
    28
    Цитата Сообщение от thyrex Посмотреть сообщение
    Выполнил.

    Пришлите карантин согласно 3 пункту приложения к правилам
    Выполнил скрипт в AVZ и послал virus.zip:
    Файл сохранён как 100508_011835_virus_4be483abdc34d.zip
    Размер файла 311
    MD5 d05289922a03810ac5521df0033a5e51

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\hMAHfDI.exe
    c:\windows\system32\m1gQ90V.exe
    c:\windows\system32\4VA68lM.exe
    c:\windows\system32\98jUHtK.exe
    c:\windows\system32\f70df921.exe
    c:\windows\system32\243d483c.exe
    c:\windows\system32\moX1Gcw.exe
    c:\windows\system32\QYYWqGk.exe
    c:\windows\system32\8404fd40.exe
    c:\windows\system32\1LNl6vl.exe
    
    Driver::
    rsxvkyw
    
    NetSvc::
    rsxvkyw
    
    Folder::
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "6645:TCP"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    07.05.2010
    Сообщений
    8
    Вес репутации
    28
    Извините, что в праздники достаю своими проблемами, большое спасибо за помощь!

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Плохого не видно. Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    07.05.2010
    Сообщений
    8
    Вес репутации
    28
    Проблема с баннером решена была сразу, как я отменил автозагрузку WUBuA.exe. Может стоит его представить на суд? Если он никому здесь не интересен, то я его удалю.
    Оставалась проблема с запуском установленного nod32 ver.4.
    Возможно, проблема была в самом дистрибе. Сейчас я без антивира, может посоветуете, что поставить, я не придирчив. Покупать не хотелось бы, так попробую найти. Спасибо.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Пришлите файл WUBuA.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

  16. #15
    Junior Member Репутация
    Регистрация
    07.05.2010
    Сообщений
    8
    Вес репутации
    28
    Файл сохранён как 100508_231000_WUBuA_4be5b70810196.zip
    Размер файла 121823
    MD5 349534823eed7ab3456a08ce56560f8f

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Adobe Acrobat 9.3 или удалите старый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    WUBuA.exe-Trojan-Ransom.Win32.XBlocker.ya(ЛК)

  19. #18
    Junior Member Репутация
    Регистрация
    07.05.2010
    Сообщений
    8
    Вес репутации
    28
    WUBuA.exe-Trojan-Ransom.Win32.XBlocker.ya(ЛК)
    Спасибо за инфо.

    Цитата Сообщение от thyrex Посмотреть сообщение
    Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Adobe Acrobat 9.3 или удалите старый
    Выполнил.


    Сделал полную проверку с помощью Средства удаления вредоносных программ для ОС Microsoft® Windows® (KB890830), ничего не найдено.
    Проблема решена. polar_owl, thyrex, polword, всем большое спасибо за участие и помощь!
    Последний раз редактировалось fertuciy; 09.05.2010 в 10:17.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 25
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows
      2. \wubua.exe - Trojan-Ransom.Win32.XBlocker.ya ( DrWEB: Trojan.Packed.19697, BitDefender: Trojan.Generic.3864010 )


  • Уважаемый(ая) fertuciy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Баннер на номер 8353
      От polundra в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.07.2010, 22:12
    2. Ответов: 12
      Последнее сообщение: 18.06.2010, 07:55
    3. Ответов: 6
      Последнее сообщение: 30.05.2010, 20:22
    4. Порно-баннер. Отправьте СМС на номер 8353
      От chips в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 16.04.2010, 17:59
    5. смс 7488015 на номер 8353
      От troickaya1995 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2010, 06:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00636 seconds with 16 queries