-
Junior Member
- Вес репутации
- 51
sms-вымогатель баннер на номер 8353
Заранее спасибо большое за уделенное внимание!
Больше месяца назад перестал обновляться nod32. Четыре дня назад произошло странное: после включения компьютер перезагрузился, после чего самоустановился антивирус Microsoft Security Essentials. 2 дня назад этот антивирус нашел угрозу, и для излечения компьютера предлагал ввести серийник Windows или оплатить лицензию через смс или web money. Nod32 не был удален, но не запускался.
Вчера я удалил Microsoft Security Essentials, перезагрузил компьютер, и всплыл порно-баннер вверху экрана. Деблокеры с virusinfo, drweb, support.kaspersky не помогли (пробовал все предложенные коды).
Установил другую версию nod32, в итоге ekrn.exe бесполезно висит запущенный в Диспетчере задач, при запуске антивируса из меню пуск: «Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения», а при запуске непосредственно «egui.exe» выдает: «Программа не запускается».
Доступ к реестру закрыт (это исправляется через политики безопасности).
Программа-баннер легко завершается через Диспетчер задач. Каждый раз при загрузке баннер имеет разное имя (например: "98jUHtK.exe", "hMAHfDI.exe"). Эти файлы каждый раз запускаются из C:\WINDOWS\system32\
Запуск баннера предотвратил, отключив автозагрузку файла: C:\WINDOWS\system32\WUBuA.exe
Однако запуск nod32 по-прежнему невозможен (пробовал переустановить).
Спасибо за помощь!
Последний раз редактировалось fertuciy; 07.05.2010 в 15:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы, выгрузите антивирус, фаерволл
Отключите ПК от интеренета, локальной сети.
пофиксите В HijackThis:
Код:
F3 - REG:win.ini: load=C:\WINDOWS\system32\OhzeF.exe
Выполните в AVZ скрипт:
Код:
begin
ExecuteWizard('TSW',3,3,true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ZT0muEb.exe','');
QuarantineFile('C:\WINDOWS\system32\RMP9SJX.exe','');
QuarantineFile('C:\WINDOWS\system32\qoumeVV.exe','');
QuarantineFile('C:\WINDOWS\system32\FeHRYas.exe','');
QuarantineFile('C:\WINDOWS\system32\9jqMQ71.exe','');
QuarantineFile('C:\WINDOWS\system32\944HZrf.exe','');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
QuarantineFile('C:\WINDOWS\system32\OhzeF.exe','');
DeleteFile('C:\WINDOWS\system32\OhzeF.exe');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\OTihr.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc24.tmp','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc24.tmp');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\944HZrf.exe');
DeleteFile('C:\WINDOWS\system32\9jqMQ71.exe');
DeleteFile('C:\WINDOWS\system32\9jqMQ71.exe');
DeleteFile('C:\WINDOWS\system32\qoumeVV.exe');
DeleteFile('C:\WINDOWS\system32\RMP9SJX.exe');
DeleteFile('C:\WINDOWS\system32\ZT0muEb.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.
В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.
+ Сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 51
Спасибо за оперативность.
ekrn.exe не выгружается (отказано в доступе).
строчки в HijackThis "F3 - REG:win.ini: load=C:\WINDOWS\system32\OhzeF.exe" не оказалось.
Послал файл virus.zip. Файл сохранён как: 100507_155303_virus_4be3ff1f17de8.zip
Gmer запускается, начинает автопроверку, и через несколько секунд BSOD (трижды запускал, все программы закрывал, из трея все выгружал, локалка\инет отключены)
Через час сделаю virusinfo_syscure.zip , virusinfo_syscheck.zip, hijackthis.log.
-
Посмотрите здесь про выгрузку Nod32:http://virusinfo.info/showthread.php?t=57441
Если не получится, попробуйте отключить службы, связанные с NOD32, и перезагрузиться.
Скорее всего Gmer не срабатывает из-за работающего Нода.
-
-
Сообщение от
fertuciy
Gmer запускается, начинает автопроверку, и через несколько секунд BSOD
Попробуйте в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Посмотрите здесь про выгрузку Nod32...
Кроме наличия ekrn.exe в списке процессов антивирус никак себя не проявлял. Запустить диалоговое окно nod32 не удалось.
Скорее всего Gmer не срабатывает из-за работающего Нода.
Удалил nod32, но Gmer продолжает вылетать с ошибкой с последующим BSOD.
Попробуйте в безопасном режиме
Gmer все равно вылетает с ошибкой на этапе автопроверки при пуске.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
+ к thyrex такой скрипт выполните:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrSvc('rsxvkyw');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно 3 пункту приложения к правилам.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Выполнил.
Пришлите карантин согласно 3 пункту приложения к правилам
Выполнил скрипт в AVZ и послал virus.zip:
Файл сохранён как 100508_011835_virus_4be483abdc34d.zip
Размер файла 311
MD5 d05289922a03810ac5521df0033a5e51
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\hMAHfDI.exe
c:\windows\system32\m1gQ90V.exe
c:\windows\system32\4VA68lM.exe
c:\windows\system32\98jUHtK.exe
c:\windows\system32\f70df921.exe
c:\windows\system32\243d483c.exe
c:\windows\system32\moX1Gcw.exe
c:\windows\system32\QYYWqGk.exe
c:\windows\system32\8404fd40.exe
c:\windows\system32\1LNl6vl.exe
Driver::
rsxvkyw
NetSvc::
rsxvkyw
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6645:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Извините, что в праздники достаю своими проблемами, большое спасибо за помощь!
-
Плохого не видно. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Проблема с баннером решена была сразу, как я отменил автозагрузку WUBuA.exe. Может стоит его представить на суд? Если он никому здесь не интересен, то я его удалю.
Оставалась проблема с запуском установленного nod32 ver.4.
Возможно, проблема была в самом дистрибе. Сейчас я без антивира, может посоветуете, что поставить, я не придирчив. Покупать не хотелось бы, так попробую найти. Спасибо.
-
Пришлите файл WUBuA.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 51
Файл сохранён как 100508_231000_WUBuA_4be5b70810196.zip
Размер файла 121823
MD5 349534823eed7ab3456a08ce56560f8f
-
Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
WUBuA.exe-Trojan-Ransom.Win32.XBlocker.ya(ЛК)
-
-
Junior Member
- Вес репутации
- 51
WUBuA.exe-Trojan-Ransom.Win32.XBlocker.ya(ЛК)
Спасибо за инфо.
Сообщение от
thyrex
Запакуйте, пожалуйста, папку
C:\Qoobox с паролем
virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Установите
SP3 (может потребоваться активация) + все новые патчи
Установите
Adobe Acrobat 9.3 или удалите старый
Выполнил.
Сделал полную проверку с помощью Средства удаления вредоносных программ для ОС Microsoft® Windows® (KB890830), ничего не найдено.
Проблема решена. polar_owl, thyrex, polword, всем большое спасибо за участие и помощь!
Последний раз редактировалось fertuciy; 09.05.2010 в 11:17.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows
- \wubua.exe - Trojan-Ransom.Win32.XBlocker.ya ( DrWEB: Trojan.Packed.19697, BitDefender: Trojan.Generic.3864010 )
-