Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Уведомление о необходимости оплаты. (http://forum.oszone.net/showthread.php?t=153646)

Ordo 19-10-2009 13:36 1246903
Уведомление о необходимости оплаты.
 
Вложений: 1
Здравствуйте!
Начальство привезло домашний компьютер, на котором поселился очередной троян.
Похоже, эта новая разновидность популярной выбивалки денег +)
Смысл в том, что по центру экрана висит окошко, которое говорит о том, что был предоставлен шестичасовой доступ к эровидео, отправьте смс с кодом таким-то на такой-то номер. Доступ в инет перекрывает.
По мнимому удалить руками могу, но уверен, что концы останутся.
Прошу квалифицированной помощи.
Логи в аттаче.

thyrex 19-10-2009 14:23 1246934
Перед выполнением скриптов на всякий случай запишите настройки сетевых подключений

Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\F942~1\LOCALS~1\Temp\don2D0.tmp
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('F:\autorun.inf','');
 QuarantineFile('E:\autorun.inf','');
 DelBHO('{FFFFE708-B832-42F1-BAFF-247753B5E452}');
 DelBHO('{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5}');
 QuarantineFile('C:\WINDOWS\system32\3rs23591.dll','');
 QuarantineFile('C:\Documents and Settings\Сергей\Application Data\ofjqa.exe','');
 TerminateProcessByName('c:\docume~1\f942~1\locals~1\temp\don2d0.tmp');
 QuarantineFile('c:\docume~1\f942~1\locals~1\temp\don2d0.tmp','');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\don2d0.tmp');
 DeleteFile('C:\Documents and Settings\Сергей\Application Data\ofjqa.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wscc');
 DeleteFile('C:\WINDOWS\system32\3rs23591.dll');
 DeleteFile('E:\autorun.inf');
 DeleteFile('F:\autorun.inf');
 QuarantineFile('c:\documents and settings\сергей\cookies\userlib.dll','');
 DeleteFile('c:\documents and settings\сергей\cookies\userlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Ordo 19-10-2009 16:07 1247026
Продолжаем развлекаться.
Все скрипты выполнены без ошибок.
Ответ от касперского: В присланном Вами файле не найдено ничего вредоносного.

После выполнения скриптов windows стал долго загружаться на моменте "Запуск Windows" до окна логина. При выключении на сохранении параметров подвисает...
Иконки как на рабочем столе, так и в папках, стало невозможно переместить (нет, автовыравнивание не включено), таким же образом невозможно скопировать и переместить файл. Так же в контекстном меню недоступны кнопки копировать, вставить и вставить ярлык...
На панели инструментов пропала панель задач.
Касательно сетевых подключений - пропала сетевая карта.

Логи сейчас попробую предоставить, если адекватной работы компьютера добьюсь.
Но думается мне, что нужна уже тяжелая артиллерия...

---
UPD
По причине отсутствия времени было решено начисто поставить систему.
Это будет быстрее, чем возиться с этим и восстанавливать нормальную работоспособность.

Поступила информация, что отец подцепил такую же заразу. Поэтому сюда выложу логи уже с другого компьютера. И там уже действительно интересно будет разобраться по полной программе. Спасибо за участие.

Ordo 19-10-2009 20:22 1247241
Вложений: 1
Ну вот. Логи с другого компьютера с той же заразой.

okshef 19-10-2009 21:21 1247286
Ordo, выполните скрипт AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Home\Cookies\userlib.dll','');
 DeleteFile('C:\Documents and Settings\Home\Cookies\userlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
ExecuteRepair(15);
RebootWindows(true);
end.
После перезагрузки - еще один скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сообщите о наличии проблем, сделайте новые логи

Ordo 19-10-2009 22:04 1247314
Вложений: 1
Файл с карантином отправил, пока ответа нет.
Вот логи.
Отмечу, что autoran.inf на дисках h: и i: не являются частью вируса, это созданные мной заглушки с измененными атрибутами, уж слишком доставали меня эти вирусы, переносившиеся на флешках.

Пока все ведет себя нормально, не как с первым компом, там вообще караул творился..

okshef 19-10-2009 22:44 1247348
Ordo, ничего страшного, может еще "доктора" подскажут.
Выполните скрипт AVZ
Код:
begin
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
ExecuteSysClean;
end.
Скачайте Malwarebytes Anty-Malware (free), после установки выполните обновление баз и полную проверку, лог приложите. Учтите, программа не любит keygen-ы и кряки - будьте внимательны при удалении.

Drongo 20-10-2009 12:09 1247742
Цитата:
Цитата Ordo
Отмечу, что autoran.inf на дисках h: и i: не являются частью вируса, это созданные мной заглушки с измененными атрибутами, уж слишком доставали меня эти вирусы, переносившиеся на флешках. »
Обработайте систему и флешки утилитой - Flash Disinfector

Ordo 20-10-2009 22:33 1248247
Цитата:
Цитата okshef
Скачайте Malwarebytes Anty-Malware (free), после установки выполните обновление баз и полную проверку, лог приложите. Учтите, программа не любит keygen-ы и кряки - будьте внимательны при удалении. »
Говорит, все чисто. Система тоже нормально работает.

Ответ от Касперского - ничего вредоносного там нету...

Цитата:
Цитата Drongo
Обработайте систему и флешки утилитой - Flash Disinfector »
Код:
Flash Disinfector выполняет следующие функции:
удаляет с корня всех доступных дисков известные ей файлы троянов
восстанавливает возможность редактирования реестра
восстанавливает работу Восстановления системы
удаляет из реестра автозапуск autorun.inf троянов
создает на каждом из доступных дисков каталог autorun.inf с атрибутами скрытый и системный, что позволяет блокировать повторное заражение ваших дисков
Последнее создано руками (:
Хоть какой-то спасение.
Буду иметь ввиду на счет утилки.

Спасибо всем, тему можно считать решенной.

okshef 20-10-2009 22:47 1248260
Цитата:
Цитата Ordo
Ответ от Касперского - ничего вредоносного там нету... »
думаю, фокус в перенастройке SPI/LSP. Заключительные рекомендации:
  1. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  2. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.


Время: 09:13.

Время: 09:13.
© OSzone.net 2001-