Перейти к содержанию

Баннер на рабочем столе.


Рекомендуемые сообщения

Здравствуйте, прошу вашей помощи!

Проблема в баннере, который появляется на рабочем столе, и блокировке системных программ. После загрузки Windows заметил, что не загружается KIS9. Далее оказалось, что не открываются штатные: диспетчер задач, редактор реестра, просмотр системных служб и т.д. При попытке вручную запустить KIS выходит сообщение, что у вас нет прав для запуска этого приложения. Через некоторое время появляется баннер в центре рабочего стола.

С трудом удалось скачать и запустить AVZ и HiJackThis. Так как при попытках это сделать, то исчезает рабочий стол, то компьютер просто перезагружается (похоже на самозащиту этой гадости). Также с зараженной системы не удается зайти на ваш и другие антивирусные сайты.

Выкладываю логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.txt

Ссылка на сообщение
Поделиться на другие сайты

Пофиксить в HijackThis

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe kjgk.sko ibawtl
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\uWCNxf6.exe,\\?\globalroot\systemroot\system32\CWpVKJL.exe,
O1 - Hosts: 69.10.53.230 odnoklassniki.ru
O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru
O1 - Hosts: 69.10.53.230 vkontakte.ru
O1 - Hosts: 69.10.53.230 www.vkontakte.ru
O1 - Hosts: 69.10.53.230 vk.com
O1 - Hosts: 69.10.53.230 www.vk.com
O1 - Hosts: 69.10.53.230 odnoklassniki.ru
O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru
O1 - Hosts: 69.10.53.230 vkontakte.ru
O1 - Hosts: 69.10.53.230 www.vkontakte.ru
O1 - Hosts: 69.10.53.230 vk.com
O1 - Hosts: 69.10.53.230 www.vk.com
O1 - Hosts: 69.10.53.230 odnoklassniki.ru
O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru
O1 - Hosts: 69.10.53.230 vkontakte.ru
O1 - Hosts: 69.10.53.230 www.vkontakte.ru
O1 - Hosts: 69.10.53.230 vk.com
O1 - Hosts: 69.10.53.230 www.vk.com

 

Выполните скрипт в avz

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
QuarantineFile('C:\Documents and Settings\Глюк\Application Data\bpdata.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\uWCNxf6.exe','');
QuarantineFile('C:\WINDOWS\system32\wbdbase.esn:VFfCdXDJgA','');
DeleteFile('C:\WINDOWS\system32\wbdbase.esn:VFfCdXDJgA');
DeleteFile('\\?\globalroot\systemroot\system32\uWCNxf6.exe');
DeleteFile('C:\Documents and Settings\Глюк\Application Data\bpdata.dll');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Пуск - Выполнить

Ввести route -f и нажать ОК

Пк перезагрузите.

Сделайте новые логи.

Изменено пользователем snifer67
Ссылка на сообщение
Поделиться на другие сайты

Пофиксил в HijackThis выбранные строки.

Выполнил в avz первый скрипт, но компьютер наотрез отказался перезагружаться (пришлось кнопкой).

После перезагрузки ничего не изменилось (все заблокировано, баннер появляется снова).

Выполнил второй скрипт, отправил карантин.

Прописал route -f, опять перезагрузился кнопкой.

Почитав форум решил попробовать - http://support.kaspersky.ru/viruses/deblocker (Сервис деактивации вымогателей-блокеров). Написав текст (T701016100) и номер (3381) баннера получил код разблокировки (279346830).

Ввел код в баннер. Через несколько секунд исчез рабочий стол, перезагрузился кнопкой. После загрузки системы все заработало, баннер исчез. Наверное, следовало мне воспользоваться кодом разблокировки с самого начала, а потом все остальное. :rolleyes:

Выкладываю новые логи.

 

 

 

Этот новый блокировщик очень быстро распространяется. Требует смс на номер 3381 и очень удачно блокирует все антивирусы.
Да, наверно это он.

 

На почту пришел ответ:

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

mssrv32.exe,

uWCNxf6.exe,

wbdbase.esn:VFfCdXDJgA

 

Файлы в процессе обработки.

 

С уважением, Лаборатория Касперского

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем -Blood-
Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\inf\wdma_ctl.inf:VFfCdXDJgA:$DATA','');
DeleteFile('C:\WINDOWS\inf\wdma_ctl.inf:VFfCdXDJgA:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб)

Сделайте новые логи.

Ссылка на сообщение
Поделиться на другие сайты

Исправим:

>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
end.

 

 

Что с проблемами?

Ссылка на сообщение
Поделиться на другие сайты

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на сообщение
Поделиться на другие сайты

А когда KIS начнет видеть и убивать данного зловреда?

 

Строгое предупреждение от модератора akoK
Хватит флудить.
Изменено пользователем akoK
Ссылка на сообщение
Поделиться на другие сайты

c:\windows\System32\drivers\beep.sys востановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\windows\system32\mnrtfpuw.dll
c:\windows\system32\q.dll
c:\windows\system32\offl.dll
c:\windows\system32\icskwexu.dll
c:\windows\system32\rjviqe.dll
c:\windows\system32\yrvw.dll
c:\windows\system32\bcqc.dll
c:\windows\Сиреневый пух.bmp:VFfCdXDJgA

Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Извините, я поторопился. <_< Удалил ComboFix и консоль восстановления после первого сканирования. Что мне теперь сделать?

Опять скачать ComboFix, установить консоль восстановления, заново провести сканирование и затем выполнить скрипт или можно просто скачать ComboFix и сразу выполнить скрипт?

Beep.sys восстановил.

Изменено пользователем -Blood-
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...