Помощь - Поиск - Пользователи - Календарь
Полная версия этой страницы: Вирусные вымогательства
Форум Рыцарей Правосудия > Общий форум > Хард и Софт
una muchacha
Вчера надо же было открыть файл без проверки антивирем (хотя, как выяснилось, авира все равно данный вирус не останавливает) - вгрызся в ноут вирус.
Проявляется в виде вымогательства отправить смс на номер 4460 с кодом. При этом замедляется работа компа сильно (а нетбук почти умирает), программы не открываются, диспетчер задач не открывается, безопасный вход невозможен.

что сделано: др веб разработал нехитрую генерацию кодов: http://news.drweb.com/show/?i=304&c=9&p=0
после того, как код введен, комп начинает "нормальную" работу, т.е. запускается все, в т.ч. антивири.

тут же просканировала систему авирой, потом ad-aware. несколько вирусов удалились.
sdfix и combofix так почему-то и не запустились. В общем, я решила, что на этом лечение благополучно завершилось.

А сегодня в то же время выплывает то же самое, только несколько в ином виде: таблички с вымогательством уже нет, просто комп подвисает на 99,9%, остальные признаки те же. Кое-как запустился переименованный хайджек - поймался какой-то левый процесс. Остальные такому ламеру как я разгадать сложно.

Цитата
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:16:43, on 14.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\EeePC\ACPI\AsEPCMon.exe
C:\Program Files\Atheros\ACU.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\EeePC\ACPI\AsTray.exe
C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\EeePC\ACPI\AsTray.exe
C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
C:\Program Files\EeePC\ACPI\AsTray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eeepc.asus.com/global
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Alichko\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
O2 - BHO: MyCentria Internet Mate v2.4 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_08\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: &Отправить на устройство Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Отправить через Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1231083562985
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1231083551032
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B06EB8DA-E458-423C-8FCD-44189E01B615}: NameServer = 212.44.130.6,195.68.135.5
O23 - Service: Сервис настройки Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe


Если не сложно, посмотрите, какие левые процессы пофиксить.

Сейчас сканировала др вебом - найдено 0 вирусов.. прячется он чтоль ))))
piglet
Почитай на форуме ДрВеба. Там сё толково расписано. Только поискать нужно.

Если есть возможность - скачай CureIt и запустись в безопасном режиме.
Для этого (вот не помню точное название, на работе осталось) есть простенькая "программка" xp-safe fix, или что то похожее, восстанавливает возможность загрузиццо в безопасном режиме (иба вирусняк отрубает нафик)

У мню на работе бухгалтерша тож словила такую гадось, так для этой версии вируса генератора кода ещё не было.
Действовал по форуму Веба, и вычистил всё без антивиря :)))
ZoolooS
здесь левых процесов нет. видимо сидит глубже.. в драйверах.. ну или руткит установлен, который не дает системе увидеть вредоносный процесс.
ZoolooS
совет
- скачать триальник Касперыча. обновить его.. и проверить комп полностью. Это раз.
- не пользоваться процесс мэнеджером виндовым ибо он ниче не умеет. это два
- Три. скчачать себе набор утилит от Sysinternals (это подразделение Микрософта). SysInternals Suite называется. там есть process explorer - вот им и пользоваться для просмотра того что запущено (в менюше у него есть пункт позволяющий заменить собой стандартный менеджер процессов). там же есть утилита autoruns (одна консольная, вторая виндовая), которая отображает все что есть в различным местах для автозапуска, позволяет отрубать пункты снятием чекбокса.. тока лишнего не понаотключайте )).
- Четыре. скачать себе довольно редко обновляемую, но все еще рабочую утилу Starter от codestuff (http://CodeStuff.mirrorz.com). Имеет 3 вкладки - Автозапуск (показывает все что грузится при включении), Процессы (более простой аналог процесс монитора), Сервисы (показывает все процессы и драйверы системы). Вот с помощью третьей вкладки можно попробовть отследить левые дрова.
Адамантит
я сие вылечил переустановив винду -)
ZoolooS
Цитата(Адамантит @ 15.1.2010, 13:02) *
я сие вылечил переустановив винду -)

ну можно еще комп поменять )
антагонист
Касперский доллжен умереть в качестве программы, да!
ZoolooS
Цитата(антагонист @ 15.1.2010, 15:29) *
Касперский доллжен умереть в качестве программы, да!

вы их просто готовите не умеете (с)
Адвокат и Ко
AVZ и AVP
должно вылечить

если всё плохо, то на форуме AVP читаем и кидаем туда логи (или что там ещё), тебе скрипт вышлют, запустишь в антивире скрипт, должно помочь)
una muchacha
ура. новый день и продолжения мытарств.
всю ночь др.веб кюреит сканировал систему: убил мне нах тотал коммандер, брутфорс и сдфикс, ну и заодно один троянчег нашел. но не тот, который нужен.
ровно в 17 нуль-нуль вирус опять активировался. таблички с вымогательством нет - впору адьку звать винду сносить!

Цитата(piglet @ 15.1.2010, 0:35) *
Если есть возможность - скачай CureIt и запустись в безопасном режиме.
Для этого (вот не помню точное название, на работе осталось) есть простенькая "программка" xp-safe fix, или что то похожее, восстанавливает возможность загрузиццо в безопасном режиме (иба вирусняк отрубает нафик)

а можно точное название проги? видать, позарез нужно в безопасный режим, а не заходится.

AVZ не загружается. система просто не реагирует на попытки ее включить.
Адамантит
Цитата
впору адьку звать винду сносить!


хохо!
Кристо
http://support.kaspersky.ru/viruses/deblocker
http://support.kaspersky.ru/viruses/solutions?qid=208637133

А вообще + к Зулусу. Отрубить окно с вымогательствами, установить триального Каспера (мне больше нравицца 2009), НЕ ЗАБЫТЬ после установки обновить базы.
Или установить ихний Римувал Тул.
И потом проверить комп, уровень защиты при проверке выставить на максимум, поставить на полную проверку, немного подождать (возможно потребуется перезагрузка) и идти спать.
Хотите плюйтесь, но Каспер рулит. Особенно в вопросах выковыривания вирусов, проникших в систему.
piglet
Цитата
а можно точное название проги? видать, позарез нужно в безопасный режим, а не заходится.


Это даже не прога, а маленький ключик в реестре..ибо обычно вирусняк проги не даёт запускать :)

Gomer502
попытался установить триал Касперского - выдаЁт: у тебя стоит Avast и я с тобой не играю, сначала прогони его))
перерыл поиском все открытые и скрытые папки - нет там такого(( не ставится
Кристо
Цитата
тебя стоит Avast и я с тобой не играю, сначала прогони его))

Файл, который прикреплен, запустить и перезагрузить. Если не поможет, зайти в безопасном и так же его. Если и это не поможет, то нужно еще удалить ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\ALWIL Software
Gomer502
в безопасном - данная установка запрещена политикой, выбранной системным администратором
Gomer502
решено
piglet
Цитата(Gomer502 @ 16.1.2010, 15:18) *
решено


рассказывай :)
Gomer502
Цитата(piglet @ 16.1.2010, 16:26) *
рассказывай :)

да я только каспера воткнул - не больше))
piglet
Цитата
Хотите плюйтесь, но Каспер рулит. Особенно в вопросах выковыривания вирусов, проникших в систему.


Полная чушь!!!!!

У меня полностью лицензионная (прям от лаборатории Касперского) бейсболка , со всеми логотипами и сертификатами!!!!!

Куда я её только не одевал и не прикладывал...и готов сообщить: ни мОск, ни ОРЗ, ни триппер ни геморой - не лечит!!!!!!!!
Реклама - зло!!!!!!!

smile.gif
Брат Августа
Каспер 09 и Каспер старый- 2 большие разницы.
У меня работает вполне корректно и очень даже быстро
una muchacha
Чувствую себя создателем мыльной оперы! ))))

Серия №3. Надежда умирает последней.

Оказывается, каким-то образом драйвер алкоголь 120 мешал безопасному входу в винду. После сноса алкоголя и восстановления записи в реестре (Safemoderepair) безопасный вход состоялся.
Kaspersky Virus Removal Tool нашел 4 вируса, 2 из которых вполне могут быть корнем зла. Однако, удалить их им не удалось.

Обратилась на http://virusinfo.info/, где с помощью хайджека и AVZ удалились:

Цитата
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32 Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\wvueuay.dll (Trojan.Vundo) -> No action taken.


щас вроде бы все как прежде. но что-то пока не верится, что это последняя серия. hope not to be continued...
ZoolooS
для инфы

http://www.overclockers.ru/softnews/35856/...bditelnost.html
Маргинал
Цитата(una muchacha @ 17.1.2010, 19:35) *
Обратилась на http://virusinfo.info/, где с помощью хайджека и AVZ удалились:
...
щас вроде бы все как прежде. но что-то пока не верится, что это последняя серия. hope not to be continued...

думаю, все нормально будет
меня там же недавно спасали в схожей ситуации - всё нормально, грамотный народ
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.
Русская версия IP.Board © 2001-2019 IPS, Inc.