Jump to content
СофтФорум - всё о компьютерах и не только

И опять требование SMS...


Recommended Posts

Здравствуйте!

По аське пришла ссылка на файл foto20.scr, так как kav 8.0.0.454 с новыми базами ни на какие вирусы не отругался, то этот файл я открыл. Сразу появилась такая заставка с требованием отправить смс

1kHlTB1VqT.jpg,

которую никак нельзя было убрать, в том числе перезагрузкой. В безопасном режиме система не запускалась, шла на перезагрузку. Это ХР. Но на компе установлена ещё и 2003 винда. В неё зайти получилось, касперский, который установлен в 2003, никаких вирусов не обнаружил, хотя базы новые. Зато удалось зайти в 2003 в безопасном режиме и запустить cureit. Cureit нашёл вирусы, затем я запускал avz, всё прошло нормально. А вот rsit выдал ошибку

Q6nEm66YeT.jpg

и только один лог. Эти логи на всякий случай в архиве LOG_2003.zip.

После всего проделанного получилось зайти в ХР в обычном режиме (в безопасном комп всё равно уходит на перезагрузку). Запустил avz и rsit, логи прилагаются. Подскажите, пожалуйста, что теперь делать, остались ли ещё вирусы?

LOG_2003.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

LOG_2003.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Link to comment
Share on other sites

Рекомендации для XP

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');QuarantineFile('C:\WINDOWS\system\dllcache.exe','');QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('C:\WINDOWS\svvghost.exe','');DeleteFile('C:\WINDOWS\svvghost.exe');DeleteFile('C:\WINDOWS\system32\sdra64.exe');DeleteFile('C:\WINDOWS\system\dllcache.exe');DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(10);RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack

 R3 - URLSearchHook: (no name) -  - (no file)F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Сделайте новые логи

Рекомендации для 2003

Пофиксить в HiJack

 O4 - HKLM\..\Run: [ilasss] G:\WINDOWS\system\lsass.exeO4 - HKCU\..\Run: [Administrator] G:\Documents and Settings\Administrator\Administrator.exe /i

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('G:\WINDOWS\system\lsass.exe','');QuarantineFile('G:\Documents and Settings\LocalService\LocalService.exe','');QuarantineFile('G:\Documents and Settings\Administrator\Administrator.exe','');QuarantineFile('G:\WINDOWS\system32\drivers\acpi32.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\amd64si.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\ati64si.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\fips32cup.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\i386si.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\ksi32sk.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\netsik.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\nicsk32.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\port135sik.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\securentm.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\systemntmi.sys','');DeleteService('systemntmi');DeleteService('securentm');DeleteService('port135sik');DeleteService('nicsk32');DeleteService('netsik');DeleteService('ksi32sk');DeleteService('i386si');DeleteService('fips32cup');DeleteService('ati64si');DeleteService('amd64si');DeleteService('acpi32');DeleteFile('G:\WINDOWS\system32\drivers\systemntmi.sys');DeleteFile('G:\WINDOWS\system32\drivers\securentm.sys');DeleteFile('G:\WINDOWS\system32\drivers\port135sik.sys');DeleteFile('G:\WINDOWS\system32\drivers\nicsk32.sys');DeleteFile('G:\WINDOWS\system32\drivers\netsik.sys');DeleteFile('G:\WINDOWS\system32\drivers\ksi32sk.sys');DeleteFile('G:\WINDOWS\system32\drivers\i386si.sys');DeleteFile('G:\WINDOWS\system32\drivers\fips32cup.sys');DeleteFile('G:\WINDOWS\system32\drivers\ati64si.sys');DeleteFile('G:\WINDOWS\system32\drivers\amd64si.sys');DeleteFile('G:\WINDOWS\system32\drivers\acpi32.sys');DeleteFile('G:\Documents and Settings\Administrator\Administrator.exe');DeleteFile('G:\Documents and Settings\LocalService\LocalService.exe');DeleteFile('G:\WINDOWS\system\lsass.exe');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(6);RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Edited by thyrex
Link to comment
Share on other sites

Пришёл ответ насчёт второго файла, из 2003. Видимо, какие-то проблемы с кодировкой.

Здравствуйте,

askBar.dll,

vksaver.dll

No malicious code were found in these files.

Please quote all when answering.

The answer is relevant to the latest bases from update sources.

> Windows 2003

-----------------

С уважением, Островерхов Владимир

Вирусный аналитик

ЗАО "Лаборатория Касперского"

Тел.: +7 (495) 797-8700

E-mail: newvirus@kaspersky.com

www.kaspersky.com

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700

www.kaspersky.ru www.viruslist.ru

Кодировку я Штирлицом поправил, а предложение насчёт неё убрать забыл. :blink:

Link to comment
Share on other sites

В логах с ХР ничего опасного не обнаружено.

Папку C:\Program Files\AskBarDis можете удалить вручную вместе с оставшимся в ней содержимым.

На этой системе проблема решена?

В логах с 2003 ничего опасного также не обнаружено.

Программы для сбора логов можно запускать из одних и тех же папок.

Edited by thyrex
Link to comment
Share on other sites

На ХР вроде бы всё работает нормально,

Спасибо большое! :)

А это нормально, что под 2003 rsit вылетает с ошибкой?

И почему каспер не отругался на вирус при его загрузке?

Link to comment
Share on other sites

Отвечу только по поводу того, что антивирус не заругался.

Ни один разработчик антивирусных решений не дает 100% гарантии защиты.

Link to comment
Share on other sites

Только что словил эту заразу, пришлось СМС отправлять. Таким образом в Контакте для кого то собирают голоса(якобы). Логи подготовлю, дабы профи глянули, не осталось ли еще чего. От меня заразилась знакомая-так же через аську, но поскольку я уже оплатил сие приключение-я ей сказал заветное слово и у нее стало все нормально.

Кто попадется на эту пакость, в поле, куда нужно ввести заветное слово-введите слово ,, пользователя ,, без кавычек. :)

И еще один компьютер сейчас привет в чувство. Заветное слово помогло.

Edited by Sanitar
Link to comment
Share on other sites

Логи сканирования. Там что то нашлось-это и есть последствия этого смс вымогательства, или это уже сидело?

avz_log.txthijackthis.log___________________..txtRsit.txt

Утилита от каспера не запустилась, ей бы еще проверил.

hijackthis.log

avz_log.txt

___________________..txt

Rsit.txt

Link to comment
Share on other sites

Sanitar, выложите нормальные логи AVZ: virusinfo_syscheck.zip, virusinfo_syscure.zip

Сори, забылся, давно не выкладывал логи. Сейчас идет сканирование малвар***тсом-пока 6 штук нашлось. Кстати, в списке логов, 3-й это лог куриэльта, просто я инфу скопировал в блокнот. Там как раз рассадник найденного.

Link to comment
Share on other sites

Логи. avz_sysinfo.htmavz_sysinfo.htm

И лог Малваре на всякий случай. mbam_log_2009_06_23__20_05_25_.txt

И куриэльт, опять находит но сделать ничего не может. куриельт._не_удаляемый..txt

avz_sysinfo.htm

avz_sysinfo.htm

mbam_log_2009_06_23__20_05_25_.txt

куриельт._не_удаляемый..txt

Edited by Sanitar
Link to comment
Share on other sites

Логи MBAM правильно делать так

Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

CureIt не может удалить файлы из C:\System Volume Information. Эту папку можно просто удалить вообще. У Вас ведь восстановление системы отключено.

Edited by thyrex
Link to comment
Share on other sites

,,пользователя,, без кавычек

после ввода этого слова картинка пропала, большое спасибо :) :) , но я хотел бы узнать точно ли это больше не появится?

Link to comment
Share on other sites

CureIt не может удалить файлы из C:\System Volume Information. Эту папку можно просто удалить вообще. У Вас ведь восстановление системы отключено.

Все пошинковал. А по логам что???
Link to comment
Share on other sites

Последнее.

Тип проверки: Полная (C:\|D:\|E:\|F:\|)

Проверено объектов: 193622

Прошло времени: 30 minute(s), 13 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 2

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

(Вредоносные программы не обнаружены)

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

Заражено папок:

(Вредоносные программы не обнаружены)

Заражено файлов:

c:\documents and settings\владислав\desktop\кейген для малваре\yaya.exe (Dont.Steal.Our.Software.A) -> Not selected for removal.

d:\program files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Quarantined and deleted successfully.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...