Баннер на рабочем столе.

[-Blood-]

Здравствуйте, прошу вашей помощи!

Проблема в баннере, который появляется на рабочем столе, и блокировке системных программ. После загрузки Windows заметил, что не загружается KIS9. Далее оказалось, что не открываются штатные: диспетчер задач, редактор реестра, просмотр системных служб и т.д. При попытке вручную запустить KIS выходит сообщение, что у вас нет прав для запуска этого приложения. Через некоторое время появляется баннер в центре рабочего стола.

С трудом удалось скачать и запустить AVZ и HiJackThis. Так как при попытках это сделать, то исчезает рабочий стол, то компьютер просто перезагружается (похоже на самозащиту этой гадости). Также с зараженной системы не удается зайти на ваш и другие антивирусные сайты.

Выкладываю логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.txt

[snifer67]

Пофиксить в HijackThis

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe kjgk.sko ibawtl
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\uWCNxf6.exe,\\?\globalroot\systemroot\system32\CWpVKJL.exe,
O1 - Hosts: 69.10.53.230 odnoklassniki.ru
O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru
O1 - Hosts: 69.10.53.230 vkontakte.ru
O1 - Hosts: 69.10.53.230 www.vkontakte.ru
O1 - Hosts: 69.10.53.230 vk.com
O1 - Hosts: 69.10.53.230 www.vk.com
O1 - Hosts: 69.10.53.230 odnoklassniki.ru
O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru
O1 - Hosts: 69.10.53.230 vkontakte.ru
O1 - Hosts: 69.10.53.230 www.vkontakte.ru
O1 - Hosts: 69.10.53.230 vk.com
O1 - Hosts: 69.10.53.230 www.vk.com
O1 - Hosts: 69.10.53.230 odnoklassniki.ru
O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru
O1 - Hosts: 69.10.53.230 vkontakte.ru
O1 - Hosts: 69.10.53.230 www.vkontakte.ru
O1 - Hosts: 69.10.53.230 vk.com
O1 - Hosts: 69.10.53.230 www.vk.com

 

Выполните скрипт в avz

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
QuarantineFile('C:\Documents and Settings\Глюк\Application Data\bpdata.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\uWCNxf6.exe','');
QuarantineFile('C:\WINDOWS\system32\wbdbase.esn:VFfCdXDJgA','');
DeleteFile('C:\WINDOWS\system32\wbdbase.esn:VFfCdXDJgA');
DeleteFile('\\?\globalroot\systemroot\system32\uWCNxf6.exe');
DeleteFile('C:\Documents and Settings\Глюк\Application Data\bpdata.dll');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Пуск - Выполнить

Ввести route -f и нажать ОК

Пк перезагрузите.

Сделайте новые логи.

Изменено 18 мая, 2010 пользователем snifer67

[Roman_SO]

Этот новый блокировщик очень быстро распространяется. Требует смс на номер 3381 и очень удачно блокирует все антивирусы.

[-Blood-]

Пофиксил в HijackThis выбранные строки.

Выполнил в avz первый скрипт, но компьютер наотрез отказался перезагружаться (пришлось кнопкой).

После перезагрузки ничего не изменилось (все заблокировано, баннер появляется снова).

Выполнил второй скрипт, отправил карантин.

Прописал route -f, опять перезагрузился кнопкой.

Почитав форум решил попробовать - http://support.kaspersky.ru/viruses/deblocker (Сервис деактивации вымогателей-блокеров). Написав текст (T701016100) и номер (3381) баннера получил код разблокировки (279346830).

Ввел код в баннер. Через несколько секунд исчез рабочий стол, перезагрузился кнопкой. После загрузки системы все заработало, баннер исчез. Наверное, следовало мне воспользоваться кодом разблокировки с самого начала, а потом все остальное.

Выкладываю новые логи.

 

 

 

Этот новый блокировщик очень быстро распространяется. Требует смс на номер 3381 и очень удачно блокирует все антивирусы.

Да, наверно это он.

 

На почту пришел ответ:

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

mssrv32.exe,

uWCNxf6.exe,

wbdbase.esn:VFfCdXDJgA

 

Файлы в процессе обработки.

 

С уважением, Лаборатория Касперского

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 18 мая, 2010 пользователем -Blood-

[lifestory]

Обновите базы AVZ, сделайте логи повторно.

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\inf\wdma_ctl.inf:VFfCdXDJgA:$DATA','');
DeleteFile('C:\WINDOWS\inf\wdma_ctl.inf:VFfCdXDJgA:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб)

Сделайте новые логи.

[-Blood-]

Скрипты выполнил, карантин отправил.

Новые логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

Исправим:

>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
end.

 

 

Что с проблемами?

[-Blood-]

Что с проблемами?

Выполнил скрипт. Вроде все нормально работает, в логах больше ничего не видно?

[Ivan007]

Вроде бы логи чистые....

 

Сообщение от модератора Apollon

Напишите аКоК в ЛС - какую школу закончили!

[thyrex]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Roman_SO]

А когда KIS начнет видеть и убивать данного зловреда?

 

Строгое предупреждение от модератора akoK

Хватит флудить.

Изменено 20 мая, 2010 пользователем akoK

[-Blood-]

Лог ComboFix.

ComboFix.txt

[thyrex]

c:\windows\System32\drivers\beep.sys востановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\windows\system32\mnrtfpuw.dll
c:\windows\system32\q.dll
c:\windows\system32\offl.dll
c:\windows\system32\icskwexu.dll
c:\windows\system32\rjviqe.dll
c:\windows\system32\yrvw.dll
c:\windows\system32\bcqc.dll
c:\windows\Сиреневый пух.bmp:VFfCdXDJgA

Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[-Blood-]

Извините, я поторопился. Удалил ComboFix и консоль восстановления после первого сканирования. Что мне теперь сделать?

Опять скачать ComboFix, установить консоль восстановления, заново провести сканирование и затем выполнить скрипт или можно просто скачать ComboFix и сразу выполнить скрипт?

Beep.sys восстановил.

Изменено 21 мая, 2010 пользователем -Blood-