Баннер СМС - не запускается ни одна утилита

[sandkey]

ага флуд сейчас опять начнется. По поводу сервиса деактивации вымогателей-блокеров,,, пишет незнаю, кстати с оперы-мини реально зайти туда. Порно-банер с смс на номер 9800 и с текстом 7331692+13+1. В инфицированную систему пытались поставить КАВ(там еще куча вирей). Прибил как обычно, с помощью anvirrus обеспечил доступ к окнам ну а дальше дело техники. Все таки стоит добавить в шапку хоть какие то рекомендации по уничтожению сей гадости!. На этом дело не закончилось. Сейчас клиент отзвонился (у него после сноса этого банера установлен КАВ(который они пытались поставить) полная лицензия полностью обновлен(736) котрый прошерстил все нашел еще кучу вирей, выбил все и ,,,,, при открытии оперы в ее окне висит порно-банер правда как он говорит другой синий .. Завтра гляну что это

 

Файл ijniogp.dll получен 2010.01.02 12:21:44 (UTC)

Trojan-Ransom.Win32.PinkBlocker.bb по касперу

Результат: 3/40 (7.50%)

файлы делал для себя

Скриншот не редактировал 5 метров весит + не для девушек

hijackthis.log

virusinfo_syscure.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\Temp\fnij.exe','');
QuarantineFile('C:\SysFiles\aRtt5j_18_TH381TF.dll','');
QuarantineFile('c:\Temp\ijniogp.dll','');
DeleteFile('c:\Temp\ijniogp.dll');
DeleteFile('C:\SysFiles\aRtt5j_18_TH381TF.dll');
DeleteFile('c:\Temp\fnij.exe');
DelBHO('{0FE8F188-6CC9-55E8-B26C-6C3E65D114E6}');
DeleteFile('C:\WINDOWS\system32\pygcbx.dll');
BC_Activate;
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

	O2 - BHO: MS Media Module - {0FE8F188-6CC9-55E8-B26C-6C3E65D114E6} - %SYSTEMDRIVE%\SysFiles\aRtt5j_18_TH381TF.dll (file missing)

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог.

[sandkey]

Уважаемый akoK. Огромное! спасибо за помощь. Судя по скриптам я кое что пропустил.Там система на первый взгляд вроде работает. Вирус этот каспером детектирован, вызывает удивление что сервис разблока не сработал, кстати на др.вебе тоже молчит что вызывает кучу вопросов, ну да ладно Спасибо огромное трудягам которые подсказывают решения. Завтра залезу остальное гляну аж интересно что там в опере висит

[akoK]

Не спешите радоваться. Судя по признакам у вас еще Kido активен в системе.

[sandkey]

Не спешите радоваться. Судя по признакам у вас еще Kido активен в системе.

Да нет там его!. Лог снят до активации каспера

 

Да нет там его!. Лог снят до активации каспера

При лечении используются все средства начиная с загрузочного диска кав. Сегодня я его не использовал потому что такой банер увидел в первый раз и этот банер даже не блокировал диспетчер задач. С ним в принципе проблем то и не было было интересно посмотреть что он делает и как его достать.

[akoK]

Нет так нет. Чистого интернета!

[Dmitriy80]

Итак, мои танцы с бубнами после НГ:

 

1) подсоеденил зараженный винт к нормальному (?) ноуту

2) проверил Iolo систем шилд - зараженных объектов не обнаружено

3) проверил cureit: найдено несколько видов 2 вида троянов и пара объектов под подозоением, один из них svhost проверил on-line - якобы чист (но я все равно прикреплю архив с ним сюда, на всякий случай)

по поводу троянов:

их нашлось два вида: 1ый - заражен 1 фаил (удален), второй вид Trojan.Winlock.649 - зараженных файлов (библиотек в интимных местах винды) - около 15000 файлов

 

всё это было удалено и винт был вставлен в ноут.

 

Далее было следующее:

 

После загрузки винды (XP SP3):

1) выскочило окошко необнаружения какого-то файла.

2) окно банера НЕ появилось

3) не работает классически: AVP, regedit , cntrl+alt+del - ну это только что я нашел... (инет кст тоже не работает) и в папке Систем волюм инф - два куцых файла, хотя отключение сохранения системы я не проводил.

 

Далее делаю следующее:

 

1) делаю быструю проверку cureit - ничего

2) скачиваю Kaspersky Virus Removal TOOL

3) делаю проверку в "стандартном" (не глубокий эврестический анализ и так далее, как предлагается в стоке) режиме - всё чисто

4) делаю ручное лечение , собираю данные о системе - выкладываю вам сюда

5) делаю ещё одну проверку Kaspersky Virus Removal TOOL, только с "макс натсройками)... /в процессе/

Строгое предупреждение от модератора Jen94

Выкладывать вирусы здесь запрещено, а подозрительные объекты следует отправлять на newvirus@kaspersky.com

Удалено.

avptool_sysinfo.zip

[apq]

подозрительные объекты и вирусы размещать запрещено, удалите!

[snifer67]

Сообщение от модератора thyrex

Добавил 16-е восстановление

 

Восстановление системы отключить.

 

Выполните скрипт в avp tool

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(C:\WINDOWS\system32\'bfwl.pgo');
DeleteFile('C:\WINDOWS\system32\ioloar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.

ПК перезагрузится.

 

Пуск - Выполнить - regedit

Щелкая по плюсикам, доберитесь в ветку

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Найдите в правой части параметр AppInit_DLLs и удалите в нем упоминания о C:\WINDOWS\system32\ioloar.dll

 

Сделаете логи avz.

[Dmitriy80]

Сообщение от модератора thyrex

Не используйте полное цитирование

 

извините, это мне ?

 

и ещё вопрос, как отключить опцию восстановления системы в XP SP3, я или жестко туплю или у меня этой опции не предусмотрено (см две картинки)

 

Сообщение от модератора thyrex

Скрипт был для Вас

Практически такие же рекомендации от меня на оффоруме

[Mark D. Pearlstone]

и ещё вопрос, как отключить опцию восстановления системы в XP SP3, я или жестко туплю или у меня этой опции не предусмотрено (см две картинки)

Правой кнопкой по Мой компьютер > Свойства > Вкладка Восстановление системы > Поставить галку на Отключить восстановление системы на всех дисках > ОК

Изменено 3 января, 2010 пользователем Mark D. Pearlstone

[Suren]

Mark D. Pearlstone нет вкладки такой. Винда скорее всего - сборка...

[Mark D. Pearlstone]

Mark D. Pearlstone нет вкладки такой. Винда скорее всего - сборка...

Значит восстановление системы отключено скорее всего.

Dmitriy80, Пуск > Справка и поддержка > Отмена изменений с помощью Восстановления системы. Работает ли?

[sandkey]

Мда я думал умну проблемы. C:\SysFiles\aRtt5j_18_TH381TF.dll. а в этой папке лежит папка опера в которой есть файл opera.js + этот файл и энто все делало порно банер в опере. на иеэксполорере все нормально. Разблокировка банеров очередной раз не сработала (интересно а она вообще работает?) поэтому пришлось прибить напрямую.

 

Mark D. Pearlstone нет вкладки такой. Винда скорее всего - сборка...

а regedit запускается?

Изменено 3 января, 2010 пользователем sandkey

[Dmitriy80]

Dmitriy80, Пуск > Справка и поддержка > Отмена изменений с помощью Восстановления системы. Работает ли?

 

"Восстановление системы отключено групповой политикой. Для включения системы свяжитесь с администратором домена" ОК

 

Mark D. Pearlstone нет вкладки такой. Винда скорее всего - сборка...

 

винда лицензионная с буком идёт )

 

snifer67

 

эх, к сож, засада какая-то((

"Ручное лечение: Невозможно запустить задачи. Код ошибки: 99С63001"

avptool_sysinfo.zip

Изменено 3 января, 2010 пользователем Dmitriy80