Просят прислать код пополнения на kscard@box.ru

[zedos]

Вчера заразился рабочий компьютер и сам перезагрузился. при этом работал регулярно обновляемый NIS 2008 (никаких сообщений не выдал).

при загрузке просят тел.карту на 30грн. , прислать код на kscard@box.ru

жмём OK, грузится IE с неприличными словами в заголовке, в трэе вместо часов красуется "радост*", права юзера порезаны, доступ есть только к диску Д., что либо запустить с командной строки невозможно

avz и HijackThis запустились только после переименовывания запускающих файлов в "explore.exe".

к интернету и локальной сети комп не подключается.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[rabbit]

обновляемый NIS 2008

а почему такой старый? на дворе уже НИС 2010

[ТроПа]

1.Пофиксить в HijackThis следующие строчки

O4 - HKCU\..\Policies\Explorer\Run: [2] iexplore.exe

 

 

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteRepair(19);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи.

[zedos]

1.Пофиксить в HijackThis следующие строчки

O4 - HKCU\..\Policies\Explorer\Run: [2] iexplore.exe

 

 

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteRepair(19);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи.

 

 

Сделал как Вы посоветовали и комп вроде стал работосппособным,

из оставшихся неприятностей заметил следующее

 

- при загрузке Винды по-прежнему всплывает сообщение с требованием отправить код пополнения счета;

- на диске С: визуально не наблюдается папка "Windows"( в т.ч. среди скрытых), хотя судя по работе АВЗ4 он ее таки проверяет и видит 4 подозрительных файла в папке Инсталлер в Винде;

- На диске D: появились два файла по 512 мбт с именами ".fuse_hidden0000000200000001" и ".fuse_hidden0000000200000002";

- На диске С: в корне есть файл которого раньше вроде как не было "IM200911.fls"

- не подключаются флешки;

- у картинки на рабочем столе виден только правый верхний ее угол, такое впечатление, что картинку сместили по диагонали влево вниз.

 

Я не умею читать скрипты, но может тут есть чтото полезное, там аналогичная проблема была http://virusinfo.info/showthread.php?t=52095

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZPMStatus(True);
ExecuteWizard('TSW', 2, 2, true);
RegKeyStrParamWrite('HKCU', 'Control Panel\International', 'sTimeFormat', 'H:mm:ss');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи АВЗ.

 

IM200911.fls - проверьте на virustotal.com и дайте ссылку на результат проверки.

[zedos]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZPMStatus(True);
ExecuteWizard('TSW', 2, 2, true);
RegKeyStrParamWrite('HKCU', 'Control Panel\International', 'sTimeFormat', 'H:mm:ss');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи АВЗ.

 

IM200911.fls - проверьте на virustotal.com и дайте ссылку на результат проверки.

 

Обьявление о требовании денег исчезло.

 

По прежнему остаются баги

- на диске С: визуально не наблюдается папка "Windows"( в т.ч. среди скрытых), хотя судя по работе АВЗ4 он ее таки проверяет и видит 4 подозрительных файла в папке Инсталлер в Винде;

- не подключаются флешки;

- у картинки на рабочем столе виден только правый верхний ее угол, такое впечатление, что картинку сместили по диагонали влево вниз.

 

в файле "IM200911.fls" указанный вами сайт вирусов не нашел. http://www.virustotal.com/ru/analisis/f995...f74d-1263479236

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

[zedos]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Программа нашла какието вирусы и все их удалила, однако это никак не повлияло на вышеописанные мною баги. Отчет прилагается.

Флешки в оборудованиях светятся с желтым знаком. в сведениях записано "Драйвер для этого устройства был отключен. Возможно, необходимые функции исполняет другой драйвер. (Код 32)"

обновление драйвера через инет пишет что более подходящий драйвер чем тот что установлен не найден.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

mbam_log_2010_01_15__14_23_07_.txt

[snifer67]

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[zedos]

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Папка Винды видна, флешки подключились после предварительного их удаления в устройствах. Огромное спасибо всем кто помогал, отдельное спасибо ТроПа за то что первый откликнулся и привел комп в чувство.

 

Остался (из замеченных мной) глюк с картинкой на рабочем столе. картинка по прежнему сильно сдвинута влево вниз (виден только верхний правый ее угол (прим 20%), если кто знает как это подправить буду признателен. скорее всего это гдето в настройках регулируется..

 

К сообщению прикрепляю отчет Комбофикса, единственное что из него понял c:\windows\system32\winlogon.exe . . . is infected!

но пока не понял как это влияет на работу компа.

log.rar

[snifer67]

Выполните скрипт в avz

begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

ПК перезагрузится.

 

Что с проблемой ?

[akoK]

c:\windows\system32\winlogon.exe - проверьте на VT о результате сообщите.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\winlogon.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

[zedos]

Строгое предупреждение от модератора ТроПа

Не стит писать пост только из цитаты

[leon99]

У меня такая же проблема с компом но только просит прислать 30 грн. на адрес kscard@box.az. ! Как решить проблему я в принципе понял! Вот только у меня возник такой вопрос: каким образом запустить АВЗ или HiJackThis если эта хрень блокирует доступ ко всему! И как я смогу отключить антивир Касперского если он у меня исчез с панели задач! ?

 

Пожалуйста ПОМОГИТЕ или РАСТОЛКУЙТЕ ! Ну очень надо комп полетел на РАБОТЕ! Заранее всем ОГРОМНОЕ СПАСИБО!

[apq]

leon99, вам лучше создать новую тему

Изменено 27 апреля, 2010 пользователем apq