Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Смс-вымогатель. Не могу применить лечение. (http://forum.oszone.net/showthread.php?t=165799)

NatChu 31-01-2010 22:17 1335400
Смс-вымогатель. Не могу применить лечение.
 
Здравствуйте.
Подхватила вирус: черный экран, отправьте смс, введит код. Мне знакомый дал код, который подошел и компьютер разблокировался, НО: у меня заблокирован диспетчер задач, локальный дисr отображается как съемный и у меня нет к нему доступа и я читала правила создания тем, но проблема в том, что я не могу открыть ни одну страницу с необходимой утилитой! Моb разные ссылки - пожалуйста, но я не могу ни проверку сделать, ни сформировать данные для лечения. Подскажите, как быть в таком случае?

thyrex 31-01-2010 22:41 1335428
Утилиты из правил можно скачать на любой другой машине и перенести на Ваш компьютер через флешку, например
Или запустить утилиты прямо с флешки

okshef 31-01-2010 22:49 1335433
Цитата:
Цитата NatChu
Подскажите, как быть в таком случае? »
Пуск (Пуск + R) - выполнить - обзор - выбор нужной программы

NatChu 01-02-2010 19:49 1336206
Вложений: 1
Вот данные

sanek_freeman 01-02-2010 20:21 1336239
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\netprotdrvss');
 TerminateProcessByName('c:\windows\system32\user32.exe');
 TerminateProcessByName('d:\md.exe');
 QuarantineFile('C:\WINDOWS\system32\Drivers\uzmymjk3.sys','');
 QuarantineFile('C:\WINDOWS\system32\els.dll','');
 QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
 QuarantineFile('C:\WINDOWS\System32\polagent.dll','');
 QuarantineFile('c:\windows\system32\netprotocol.dll','');
 QuarantineFile('c:\windows\system32\netprotdrvss','');
 QuarantineFile('c:\windows\system32\user32.exe','');
 QuarantineFile('d:\md.exe','');
 QuarantineFile('F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx','');
 QuarantineFile('C:\huadio.tmp','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('F:\autorun.inf','');
 DeleteFile('F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx');
 DeleteFile('C:\huadio.tmp');
 DeleteFile('D:\autorun.inf');
 DeleteFile('F:\autorun.inf');
 DeleteFile('d:\md.exe');
 DeleteFile('c:\windows\system32\netprotdrvss');
 DeleteFile('c:\windows\system32\netprotocol.dll');
 DeleteFile('c:\windows\system32\user32.exe');
 DeleteService('autorun');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.


Код:
>>> Подозрение на маскировку ключа реестра службы\драйвера "fqwgec"
у вас кидо, сделайте логи gmer
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

NatChu 01-02-2010 20:48 1336273
Осталась проблема с загрузкой сайтов, содержащих антивирусные программы!

iskander-k 01-02-2010 21:10 1336300
Попробуйте

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ExecuteRepair(20);
RebootWindows(true);
end.

NatChu 02-02-2010 10:16 1336697
Цитата:
Цитата sanek_freeman
у вас кидо, сделайте логи gmer »
Посл запуска выскочил синий экран с ошибкой и пришлось перезагружать компьютер.

NatChu 02-02-2010 10:37 1336723
Цитата:
Цитата iskander-k
Скрипт AVZ. »
Проблема осталась.

NatChu 02-02-2010 11:28 1336778
Цитата:
Цитата sanek_freeman
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. »
Здравствуйте,


autorun.inf - Worm.Win32.AutoRun.gvb
autorun_0.inf - Net-Worm.Win32.Kido.ir
jwgkvsq.vmx - Net-Worm.Win32.Kido.ih

В настоящий момент эти файлы детектируются. Пожалуйста, обновите антивирусные базы.

bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini, bcqr00009.ini, bcqr00010.ini, bcqr00011.ini, bcqr00012.ini, bcqr00013.ini, bcqr00014.ini, bcqr00015.ini, bcqr00016.ini, bcqr00017.ini, bcqr00018.ini, bcqr00019.ini, bcqr00020.ini, bcqr00021.ini, bcqr00022.ini, bcqr00023.ini, bcqr00024.ini, els.dll, huadio.tmp

Вредоносный код в файлах не обнаружен.

md.exe, user32.exe - Trojan-Ransom.Win32.Chameleon.bt
netprotdrvss - Backdoor.Win32.Buterat.ei
netprotocol.dll - Backdoor.Win32.Buterat.eh

Детектирование файлов будет добавлено в следующее обновление.

С уважением, антивирусная лаборатория

sanek_freeman 02-02-2010 11:50 1336792
Цитата:
Цитата NatChu
Посл запуска выскочил синий экран с ошибкой и пришлось перезагружать компьютер. »
У вас установлены Daemon tools или Alcohol 120%? Если да, то деинсталируйте их и заново попытайтесь сделать лог Gmer.

NatChu 02-02-2010 14:24 1336933
Цитата:
Цитата sanek_freeman
У вас установлены Daemon tools или Alcohol 120%? »
Нет, не установлены.

Drongo 02-02-2010 14:44 1336952
Вложений: 1
NatChu, Выполните рекомендации по пунктам.

1. Скачайте архив MGtools.rar прикреплённый ниже, распакуйте его и запустите файл MGtools.exe, дождитесь окончания работы утилиты, после чего в директории C: у вас появится архив MGlogs.zip (C:\MGlogs.zip) прикрепите его к следующему сообщению

2. Скачайте - Quick Killer - GUI для консольных утилит Лаборатории Касперского - распакуйте и запустите файл Quick Killer.exe - установите переключатель в положение KidoKiller - выставьте галочки напротив пунктов:

1. Записать в лог 'report.txt'
2. По окончании не ждать нажатия клавиши...

Нажмите кнопку Выполнить, дождитесь окончания работы утилиты и после чего в той же директории появится файл report.txt прикрепите его сюда.

NatChu 02-02-2010 16:08 1337016
Вложений: 2
Вот

Drongo 02-02-2010 16:39 1337051
NatChu, Вирус кидо был успешно удалён. :)

Цитата:
16:5:5:125 3792 C:\WINDOWS\system32\aketxu.dll infected Net-Worm.Win32.Kido ... 16:5:5:968 3792 cured
Программу - VKLife - универсальная программа для скачивания музыки, видео... вы скачивали? Если да, то хорошо.

Жалобы на работу компьютера ещё какие остались?

NatChu 02-02-2010 16:42 1337056
Цитата:
Цитата Drongo
Программу - VKLife - универсальная программа для скачивания музыки, видео... вы скачивали? Если да, то хорошо. »
Да, я. Ее нужно удалить?

Цитата:
Цитата Drongo
Жалобы на работу компьютера ещё какие остались? »
Нет! Все получилось, сайты открываются. Огромное спасибо!!!!!!!

Drongo 02-02-2010 16:52 1337067
Цитата:
Цитата NatChu
Да, я. Ее нужно удалить? »
Нет, зачем же? Если она ваша, пусть у вас и будет, только она у вас запускается из кеша интернет. Это и смущает. :)
Цитата:
O4 - HKLM\..\Run: [VKLife] C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\K6TDBL77\VKLife_1.7.1[1].exe -Hide
Цитата:
Цитата NatChu
Все получилось, сайты открываются. Огромное спасибо!!!!!!! »
Тогда незабывайте отмечать тему решённой - Отметить решенной. :)


Время: 01:53.

Время: 01:53.
© OSzone.net 2001-