-Blood- 0 Опубликовано 18 мая, 2010 Share Опубликовано 18 мая, 2010 Здравствуйте, прошу вашей помощи! Проблема в баннере, который появляется на рабочем столе, и блокировке системных программ. После загрузки Windows заметил, что не загружается KIS9. Далее оказалось, что не открываются штатные: диспетчер задач, редактор реестра, просмотр системных служб и т.д. При попытке вручную запустить KIS выходит сообщение, что у вас нет прав для запуска этого приложения. Через некоторое время появляется баннер в центре рабочего стола. С трудом удалось скачать и запустить AVZ и HiJackThis. Так как при попытках это сделать, то исчезает рабочий стол, то компьютер просто перезагружается (похоже на самозащиту этой гадости). Также с зараженной системы не удается зайти на ваш и другие антивирусные сайты. Выкладываю логи. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.txt Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 18 мая, 2010 Share Опубликовано 18 мая, 2010 (изменено) Пофиксить в HijackThis F2 - REG:system.ini: Shell=explorer.exe rundll32.exe kjgk.sko ibawtl F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\uWCNxf6.exe,\\?\globalroot\systemroot\system32\CWpVKJL.exe, O1 - Hosts: 69.10.53.230 odnoklassniki.ru O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru O1 - Hosts: 69.10.53.230 vkontakte.ru O1 - Hosts: 69.10.53.230 www.vkontakte.ru O1 - Hosts: 69.10.53.230 vk.com O1 - Hosts: 69.10.53.230 www.vk.com O1 - Hosts: 69.10.53.230 odnoklassniki.ru O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru O1 - Hosts: 69.10.53.230 vkontakte.ru O1 - Hosts: 69.10.53.230 www.vkontakte.ru O1 - Hosts: 69.10.53.230 vk.com O1 - Hosts: 69.10.53.230 www.vk.com O1 - Hosts: 69.10.53.230 odnoklassniki.ru O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru O1 - Hosts: 69.10.53.230 vkontakte.ru O1 - Hosts: 69.10.53.230 www.vkontakte.ru O1 - Hosts: 69.10.53.230 vk.com O1 - Hosts: 69.10.53.230 www.vk.com Выполните скрипт в avz begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}'); DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); QuarantineFile('C:\Documents and Settings\Глюк\Application Data\bpdata.dll',''); QuarantineFile('\\?\globalroot\systemroot\system32\uWCNxf6.exe',''); QuarantineFile('C:\WINDOWS\system32\wbdbase.esn:VFfCdXDJgA',''); DeleteFile('C:\WINDOWS\system32\wbdbase.esn:VFfCdXDJgA'); DeleteFile('\\?\globalroot\systemroot\system32\uWCNxf6.exe'); DeleteFile('C:\Documents and Settings\Глюк\Application Data\bpdata.dll'); DeleteFile('C:\WINDOWS\system32\mssrv32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Пуск - Выполнить Ввести route -f и нажать ОК Пк перезагрузите. Сделайте новые логи. Изменено 18 мая, 2010 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_SO 267 Опубликовано 18 мая, 2010 Share Опубликовано 18 мая, 2010 Этот новый блокировщик очень быстро распространяется. Требует смс на номер 3381 и очень удачно блокирует все антивирусы. Цитата Ссылка на сообщение Поделиться на другие сайты
-Blood- 0 Опубликовано 18 мая, 2010 Автор Share Опубликовано 18 мая, 2010 (изменено) Пофиксил в HijackThis выбранные строки. Выполнил в avz первый скрипт, но компьютер наотрез отказался перезагружаться (пришлось кнопкой). После перезагрузки ничего не изменилось (все заблокировано, баннер появляется снова). Выполнил второй скрипт, отправил карантин. Прописал route -f, опять перезагрузился кнопкой. Почитав форум решил попробовать - http://support.kaspersky.ru/viruses/deblocker (Сервис деактивации вымогателей-блокеров). Написав текст (T701016100) и номер (3381) баннера получил код разблокировки (279346830). Ввел код в баннер. Через несколько секунд исчез рабочий стол, перезагрузился кнопкой. После загрузки системы все заработало, баннер исчез. Наверное, следовало мне воспользоваться кодом разблокировки с самого начала, а потом все остальное. Выкладываю новые логи. Этот новый блокировщик очень быстро распространяется. Требует смс на номер 3381 и очень удачно блокирует все антивирусы.Да, наверно это он. На почту пришел ответ: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. mssrv32.exe, uWCNxf6.exe, wbdbase.esn:VFfCdXDJgA Файлы в процессе обработки. С уважением, Лаборатория Касперского virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 18 мая, 2010 пользователем -Blood- Цитата Ссылка на сообщение Поделиться на другие сайты
lifestory 65 Опубликовано 19 мая, 2010 Share Опубликовано 19 мая, 2010 Обновите базы AVZ, сделайте логи повторно. Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 19 мая, 2010 Share Опубликовано 19 мая, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\inf\wdma_ctl.inf:VFfCdXDJgA:$DATA',''); DeleteFile('C:\WINDOWS\inf\wdma_ctl.inf:VFfCdXDJgA:$DATA'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
-Blood- 0 Опубликовано 19 мая, 2010 Автор Share Опубликовано 19 мая, 2010 Скрипты выполнил, карантин отправил. Новые логи. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 мая, 2010 Share Опубликовано 19 мая, 2010 Исправим: >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); end. Что с проблемами? Цитата Ссылка на сообщение Поделиться на другие сайты
-Blood- 0 Опубликовано 19 мая, 2010 Автор Share Опубликовано 19 мая, 2010 Что с проблемами? Выполнил скрипт. Вроде все нормально работает, в логах больше ничего не видно? Цитата Ссылка на сообщение Поделиться на другие сайты
Ivan007 30 Опубликовано 19 мая, 2010 Share Опубликовано 19 мая, 2010 Вроде бы логи чистые.... Сообщение от модератора Apollon Напишите аКоК в ЛС - какую школу закончили! Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 19 мая, 2010 Share Опубликовано 19 мая, 2010 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_SO 267 Опубликовано 20 мая, 2010 Share Опубликовано 20 мая, 2010 (изменено) А когда KIS начнет видеть и убивать данного зловреда? Строгое предупреждение от модератора akoK Хватит флудить. Изменено 20 мая, 2010 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
-Blood- 0 Опубликовано 20 мая, 2010 Автор Share Опубликовано 20 мая, 2010 Лог ComboFix. ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 20 мая, 2010 Share Опубликовано 20 мая, 2010 c:\windows\System32\drivers\beep.sys востановите с дистрибутива http://virusinfo.info/showthread.php?t=51654 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: c:\windows\system32\mnrtfpuw.dll c:\windows\system32\q.dll c:\windows\system32\offl.dll c:\windows\system32\icskwexu.dll c:\windows\system32\rjviqe.dll c:\windows\system32\yrvw.dll c:\windows\system32\bcqc.dll c:\windows\Сиреневый пух.bmp:VFfCdXDJgA Driver:: Folder:: Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
-Blood- 0 Опубликовано 21 мая, 2010 Автор Share Опубликовано 21 мая, 2010 (изменено) Извините, я поторопился. Удалил ComboFix и консоль восстановления после первого сканирования. Что мне теперь сделать? Опять скачать ComboFix, установить консоль восстановления, заново провести сканирование и затем выполнить скрипт или можно просто скачать ComboFix и сразу выполнить скрипт? Beep.sys восстановил. Изменено 21 мая, 2010 пользователем -Blood- Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.