Вирус вымогатель с отправкой СМС (Каспер)

[gura]

Вообщем сегодня я включаю компьютер,и при запуске у меня начали вылетать окошки с надписями разных программ, что они не могут запуститьться, а если подробнее, то "Инструкция по адресу "0x7c91b1fa" обратилась к памяти по адресу "0x00000010". Память не может быть "written".

И дальше не чего не происходило, ну я думал мало-ли что. Но смотрю и Касперский не запустился. Ну начинаю запускать вручную и после чего мне заявляет "C:\...\...\...\avp.exe и дальше "Невозможно открыть данную программу из-за политики ограничения приложения программного обеспечения. За доп. инфо. обратитесь к сис. админ. или откройте просмотр событий".

Я полез смотреть просмотр событий, но при нажатии ничего не происходило. После чего я хотел сделать откат системы, но вылезло тоже самое. После я хотел открыть Мазилу, но и она не открылась только вылетело непонятное окно Касперского и начало проверять систему, после 30 секунд проверки высветились заражённые файлы, я нажал на кнопку лечить всё и вылезло необыкновенное окно. "Вы не зарегестрировали вашу копию Internet Security. Установив данное По вы согласились с лиц. соглашением. предложенного вам для проверки системы на наличие вредноносных программ. На основании лицензии Вы должны либо удалить ПО до окончания пробного периода или оплатить лиценнзию на дальнейшее исп. продукта." Ниже появилось времечко сколько осталось. И серым шрифтом ниже написано, мол работа системы приостановлена и т.п.

Дальше было написано "Чтобы получить код активации отправьте СМС

Отправьте СМС с кодом: K206614900 на номер 4460 (Стоимость 10 руб с учётом НДС)

В самом низу написано "Попытки завершения работы Интернет Секьюрити могут нанести непоправимый вред вашему комп. и информации хранящейся в нём".

Я порыскал по интернету и нашёл, что можно изменить имя avp.exe на что-нибудь другое и я быстро полез в папку Касперского, но и тут меня ожидал провал, только я нажимаю на папку Касперского так он сразу выходит из неё и появляется чистый рабочий стол без пуска и т.п и через секунду всё возобновляется только уже без "Моего компьютера".

Надеюсь на вашу поддержку.

Заранее благодарен.

Uptd: нашёл тему с этим вирусом, пробовал много ключей и один подошёл я так подумал, после чего было написано Ждать, а потом вылетел экран смерти с ошибкой STOP: c000021a {

Каракули................ Windows Logon Process

Uptd2: Вообщем перезагрузил компьютер и вроде всё прошло, щас поставлю на полную проверку, может что найдёт.

Мне вот инртересно где я его словил ? И какие действия делать после его активации ?

Почистил ререстр от вроде того вируса, вроде всё прошло.

Изменено 11 января, 2010 пользователем gura

[ТроПа]

Мне вот инртересно где я его словил ? И какие действия делать после его активации ?

Ну где словили вам виднее. Мы то не знаем какие сайты вы посещали и какие настройки у браузеров.

Раз вы активировали и проблем не наблюдается то можем посоветовать только выполнить ещё это, для очистки совести

[Добрый Заазыч]

тоже самое было на ноутбуке у меня. на днях... слава богу нашёлся какой та форум, я тама коды подобрал!

 

а вот где вирус под хватил тоже не знаю!

 

логи сделайте! как выше уже написали.

и комп проверьте! плюс все носители которые соединялись при моменте когда был вирус! ъ

я например проверил свою флешку, а тамм.... ужасс

Изменено 11 января, 2010 пользователем Zaaza

[RZA]

Всем форумчанам доброго времени суток

Хочу поделиться своими впечатлениями при общении с єтой бацилой

Симптомы в точности совпадали с перечисленными в первом посте. Долбался я с инфекцией довольно долго пытаясь запустить хоть какую нибуть антивирусную программу - бесполезно, ни сэйф модэ ни под каким другим соусом попытки не увенчались успехом - при малейщем поползновении в эту сторону с моей стороны следовало окно "ложного антивируса" или вообще выключение компьютера, единственное, что можно было сделать это включить винамп и послушать музыку (и на том спасибо). Потом пришла мысль попробовать изменить название имеющихся АВ программ (имею в виду ЕХЕ фаилов и, о чудо под сэиф модэ (а может и в нормальном режиме , уже к тому времени порядком задолбался могу перепутать) удалось запустить АВЗ на проверку оперативной памяти. При следующем запуске в сэиф модэ удалось таки запустить КИС-у, но проверка ничего не дала. Более того выяснилось, что у КИС-ы что то произошло с паролями: при изменении настроек она его не запрашивала, а при попытке задать новый - сообщила о том, что введённый мной старый пароль неверен . Проверка с "Высоким" уровнем ничего не дала. Потом бацила дала о себе знать с новой силой.... После долгого чесания в затылке возникла идея о переведении системного времени на пару дней назад. Не буду описывать с какой попытки удалось осуществить задуманное, и всё же после того как удалось идею воплотить в жизнь Виндоус пошла в перезагрузку, после которой в обычном режиме после загрузки "вылетело" окно с сообщением о том, что произошло повреждения системного NT ядра и через 60 секунд произойдёт презагрузка. До истечения єтого времени запустил АВЗ и проверил ситстемный диск на сколько успел, перезагрузился. Сообщения об ошибках вылетали по прежнему, но в общем система начала работать более менее нормально. Далее начались попытки проверить смстему КИС-а работать отказалась, за что была удалена, а затем без особого успеха пытался установить целую кучу АВ програм разного толк - бесполезно.

(Далее прошу не считать меня агитатором и казачком от конкурентов - просто делюсь личным опытом)

Первой установить удалось Авиру фри, проверился она обругала добросовестным образом все кейгены и выдала подозрения на фаилы с названиями типа 70пв5468роп2.dll в папке систем32 - фаилы удалил. Далее поставил ЕСЭТ (на него были относительно свежие базы) проверил - выловил пару тройку троянов на системном диске. Осмелев решился выйти в интэрнэт и и почитать, что пишут об эдакой напасти. Здесь на форуме нашел ссылку на генератор кодов разблокировки и как оказалось вовремя вирус опять начал безобразничать. После введения кода он пропал и покамест не появлялся. Был обновлен ЕСЭТ и в результате проверки выловлено до трёх десятков троянов, в основном это был один и тот же экземпляр, но лежал он по всему системному диску. (прошу простить за то что не записал названия, однако в час ночи просто не подуамл об этом). Наконец то поставил КИС-ульку и обновился, сейчас проверяю компьютер по полной программе по результатам отпишусь.

Преблизительно вот так.

Изменено 12 января, 2010 пользователем RZA

[Paddington]

Zaaza, на ноутбуке не было KIS?

[RZA]

Проверка окончена, ничего не найдено

Изменено 12 января, 2010 пользователем RZA

[snifer67]

RZA, http://forum.kasperskyclub.ru/index.php?showtopic=1698

[RZA]

Вот логи

 

Гэтсистеминфо

ссылка http://www.getsysteminfo.com/read.php?file...76d886e1b4d1b09

и фаил

 

Сообщение от модератора vasdas

Удалено virusinfo_cure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_files.zip

GetSystemInfo_TRUD_Cерёга_2010_01_12_21_02_48.zip

[snifer67]

Выполните скрипт в avz

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('D:\DOCUME~1\C52B2~1\LOCALS~1\Temp\w_w169.tmp','');
DeleteFile('D:\Program Files\AskBarDis\bar\bin\askPopStp.dll');
DeleteFileMask('D:\Program Files\AskBarDis', '*.*', true);
DeleteDirectory('D:\Program Files\AskBarDis');
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

[RZA]

Понял, работаю.

 

Всё сделал, вот логи:

 

http://www.getsysteminfo.com/read.php?file...814004db64d9fa3

 

Сообщение от модератора vasdas

Удалено virusinfo_cure.zip - это карантин, его не нужно прикреплять к сообщению.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67]

Пофиксить в HijackThis

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=%s
R3 - URLSearchHook: (no name) -  - (no file)

ПК перезагрузите.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DeleteFile('D:\Program Files\AskBarDis\bar\bin\askBar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Сделайте новый логvirusinfo_syscheck.zip и приложите к этой теме.

[RZA]

Добрый вечер, всё сделал. Выше обозначенный файл отправил на newvirus@kaspersky.com вчера - ответа покамест нет. Логи выкладываю.

virusinfo_syscheck.zip

[Добрый Заазыч]

Paddington был конечно же!

[RZA]

Paddington был конечно же!

 

В смысле?

[snifer67]

Чисто.Что с проблемой ?

 

Установите SP3(может потребоваться активация)+все последующие обновления