sms вымогатель

[Sfera]

Добрый день!

Познакомилась вчера с вымогателем. Подробности моей суточной борьбы описывать не буду.. Могу сказать только, жуткая вещь. Окно с надписью:Ваш компьютер инфицирован, запомню надолго. Вобщем, своими силами и силами первого программиста справиться с трояном не удалось, сидели с 22.00 до 4 утра. Подумывала уже о переустановке винды, но решила воспользоваться платными услугами Сервис службы. И мне помогли.. аж за 4000 руб. Будет мне урок, жадине. "Излечилась" методом ввода кода в окно. После ухода сотрудника Сервис службы дк. Веб нашел еще двух троянов в папке ТЕМР, потом антивирь нашел еще 2 файла. Я забеспокоилась. может и не удалился этот троян совсем, а живет себе до поры до времени? Помогите, пожалуйста

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\TEMP\X5u1jY7D.sys','');
QuarantineFile('c:\windows\system32\skeysrvc.exe','');
DeleteFile('C:\TEMP\X5u1jY7D.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

[Sfera]

ок..спасибо новые логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 12 января, 2010 пользователем Sfera

[sasha1381]

Посмотри еще здесь.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

и в UserInit должно только "C:\WINNT\system32\userinit.exe". если в строке "C:\WINNT\system32\userinit.exe" есть еще какой то файлик, то 99% вирусный и смотри где находиться

 

Строгое предупреждение от модератора ТроПа

Уважаемый sasha1381, конечно в строчке C:\WINNT\system32\userinit.exe обязательно должна быть запятая в конце, кроме того, выложены логи от 2-х утилит, которые с вероятностью 99,99% покажут изменение в запуске userinit.exe. На будущее воздержитесь от подобных советов.

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\drivers\hlemu.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

 

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZPMStatus(true);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

 

 

Повторите логи.

Изменено 15 января, 2010 пользователем akoK

[Sfera]

skeysrvc.exe

 

Вредоносный код в файле не обнаружен.

 

Здравствуйте, уважаемый akoK . Спасибо,что приняли участие в моей проблеме.

 

Деинсталировать ComboFix не удалось. После ввода в командную строку, выдало ошибку..файл не найден.

Изменено 13 января, 2010 пользователем Sfera

[snifer67]

OTCleanIt, пройдитесь.

[ТроПа]

Сообщение от модератора ТроПа

Честь сообщений перенесена в отдельную тему

[Sfera]

не закрывайте, пожалуйста тему.. завтра выложу все логи

[Sfera]

Скрипты сделала

OTCleanIt прошлась

 

лог gmer прилагаю

2.log

Изменено 15 января, 2010 пользователем Sfera

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
BC_QrFile('C:\WINDOWS\Cursors\up_m.cur');
DeleteFile('C:\WINDOWS\Cursors\up_m.cur');
BC_QrFile('C:\WINDOWS\Cursors\up_m.cur:RVSFFA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

ПК перезагрузится.

 

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделайте логи avz.

[Sfera]

Скрипт выполнила,

карантин отправила,

логи прилагаю

virusinfo_syscure.zip

virusinfo_syscheck.zip

[snifer67]

Ответ из вирлаба не приходил ?

[Sfera]

quarantine.zip

 

Вредоносный код в файле не обнаружен.

[snifer67]

Что с проблемой ?