Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] черный экран и на его фоне краными буквами написано: Он лайн атнивирус касперского (http://forum.oszone.net/showthread.php?t=145607)

sztksales 19-07-2009 23:19 1172299
черный экран и на его фоне краными буквами написано: Он лайн атнивирус касперского
 
Добрый день.

Помогите мне пожалуйста с моим компьютером! У меня такая проблема. Сегодня при работе с компьютером я видно подцепил вирус из инета.
Вирус такой: При обычной загрузке компа у меня после приветствия выскакивает черный экран и на его фоне краными буквами написано: Он лайн атнивирус касперского.
У вас на компьютере обнаружен вирус. Если вы хотите от него избавиться то пошлите по указанному смс номеру такой то код и в ответ вам придет код с отменой антивиря. стоимость составляет 6 рублей. Я понимаю, что это лохотрон ... но я никак немогу запустить компьютер дальше так как все стоит и все на этом. Я попробовал загрузить последнюю удачную версию загрузки, но по итогу после приветствия компа снова выскакивет данная заставка и полный пипец...
P.S. Причем на компе стоит DR. WEB, а касперский у меня и в помине отсутствовал.....
ПОМОГИТЕ люди добрые!!!!!!! :help:

iskander-k 20-07-2009 02:23 1172418
sztksales, Здравствуйте. Выложите логи в соответствии с этими инструкциями.

thyrex 20-07-2009 08:18 1172476
Попробуйте код ХХХХХХХХХХХХХХХХ
Если поможет, выполните то, что рекомендовал iskander-k в предыдущем сообщении

sztksales 20-07-2009 16:42 1172867
Привет iskander-k, и thyrex, !
Спасибо, что откликнулись на мою беду. :clapping:

Итак по пунктам: 1. Выставляю логи для изучения.
Хотя логи я бы несмог выставить так, как доступ к компьютеру был абсолютно ограничен и недоступен, если бы не подсказка thyrex, благодая его коду я смог войти в систему Windows xp2000!!!! Спасибо!!!!! :wink:
Хочу теперь узнать как поживает мой компьютер.
P.S. Что смог увидеть невооруженным взглядом это то, что у меня например неработает диспетчер задач, нажимаю ctrl+alt+delet= пишет, что отключен администатором.....

thyrex 20-07-2009 17:00 1172879
Цитата:
Цитата sztksales
Вы пишите -выполните то, что рекомендовал iskander-k в предыдущем сообщении »
Сообщение №2 в этой теме :)

На время выполнения скриптов отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Пофиксить в HiJack
Код:
F2 - REG:system.ini: Shell=explorer.exe,user32.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('taskkill.exe','');
 QuarantineFile('cmd.exe','');
 QuarantineFile('E:\md.exe','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 TerminateProcessByName('c:\windows\system32\user32.exe');
 QuarantineFile('c:\windows\system32\user32.exe','');
 DeleteFile('c:\windows\system32\user32.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\md.exe');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

sztksales 20-07-2009 19:17 1172994
thyrex,
Я во время выполнения скриптов отключал все защитное ПО!!!!!! Как написано в руководстве.
Иак выставляю новые логи. Да и я как вы thyrex сказали написал письмо и отправил quarantine.zip из папки AVZ.
Вот их Ответ: Здравствуйте,

autorun.inf

Вредоносный код в файле не обнаружен.

md.exe_ - Trojan-Ransom.Win32.SMSer.ge

Этот файл определяется антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.

--
С уважением, Сергей Прокудин
Вирусный аналитик Лаборатории Касперского.

akok 20-07-2009 19:59 1173029
Что с проблемой?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"


Скачайте OTCleanIt, запустите, нажмите Clean up



Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

sztksales 20-07-2009 22:38 1173128
akok, Добрый день.

Ну что я могу сказать, что при включении компьютера заставки вируса просящего перевести денег у меня нет. Кстати вот его фото ( прошу заранее извинить за плохое качество, так как технические возможности на моем телефоне фотика очень малы по пикселям....Ну хоть что то чем совсем ничего) :(

Теперь по существу вами сказанного:
1. У меня на компе нет Combofix. Где вы его нашли у меня??? Немогли бы вы показать адрес его нахождения....
2. Пытался загрузить и запустить OTCleanIt после нажатия клавиши "Выполнить" (чтоб запустить программу) комп мне выдает следющее предупреждение: С:\Documents and Settings\Fylhtq|Local Settings\Temporary Internet Files\Content.IE5\2K10LU2J\OTC[1]exe не является приложением Win32 и дальше нет никаких сдвигов в работе данной программы. :(
3. Прикладываю лог файл Результаты сканирования Malwarebytes' Anti-Malware

akok 20-07-2009 22:47 1173139
Цитата:
С:\Documents and Settings\Fylhtq|Local Settings\Temporary Internet Files\Content.IE5\2K10LU2J\OTC[1]exe не является приложением Win32
Его бы сохранить на рабочий стол. :)

Цитата:
1. У меня на компе нет Combofix. Где вы его нашли у меня??? Немогли бы вы показать адрес его нахождения....
Код:
C:\ComboFix\catchme.sys
Драйвер висит в системе.

sztksales 21-07-2009 18:51 1173859
akok,

Сделал как Вы сказали. Прочистил комап прогой OTCleanIt.
Снова загрузил ComboFix и снес данную программу, так как на C:\ComboFix\catchme.sys его невижу.. ....
И последний вопрос к вам на данном форуме.
Результаты сканирования Malwarebytes' Anti-Malware я выставил... Немогли бы вы сказать, что на смом деле вредное, а что можно оставить неподчищая все и вся так как например строчки:
Код:
e:\властелин колец\властелин колец - битва за средиземье ii - под знаменем короля-чародея (софт клаб) адд\Keygen.exe (Malware.Packer) -> No action taken.
e:\мои документы\downloads\universal document converter 4.2\Patch\Patch.exe (Backdoor.IRCBot) -> No action taken.
e:\мои документы\downloads\властелин колец\властелин колец - битва за средиземье ii - под знаменем короля-чародея (софт клаб) адд\Keygen.exe (Malware.Packer) -> No action taken.
Так как эти файлы от игры. А вот что с другими строчками делать????? Неужели все их надо удалять????? :(
Или что то можно оставить?????

thyrex 21-07-2009 19:11 1173877
sztksales, просто MBAM славится своей нелюбовью к разным патчам и кейгенам :)
Остальные строки на Ваше усмотрение

sztksales 21-07-2009 19:54 1173921
thyrex, к сожалению у меня по всем выставленным веткам обнаруженных прогой MBAM нет тех "лишних" и вредоносных объектов.
Каждая из них работает и отвечат за какую либо работу программ в моем компьютере. Я как то побаиваюсь что либо сносить, так как боюсь сбоев в моем компьтере по определенным программам. Вы точно уверены, что можно вообще пользоваться данным приложением в виде MBAM ????? :( Уж как то она неадекватна...


Ну что мои хорошие!!!
Спасибо всем огромное, а именно: iskander-k, thyrex, akok,
Что бы я без вас делал. Огромное человеческое СПАСИБО! за вашу помощь и труд!!!!!!!!! :) :victory: :pray: :clapping:
Тему считаю закрытой!!! :victory:
P.S. Как хорошо, что есть такой форум и такие умные Кулибины...)))


Время: 18:59.

Время: 18:59.
© OSzone.net 2001-