Решена СМС Блогер-зловред

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Пётр, 9 фев 2011.

Статус темы:
Закрыта.
  1. Пётр
    Оффлайн

    Пётр Активный пользователь

    Сообщения:
    76
    Симпатии:
    3
    Всем, доброго времени суток!
    Суть проблеммы, сосед поймал блогер.
    Я с помощью сервиса Deblocker разблокировал, блогер с экрана исчез, но рабочий стол чистый, нет ни одной иконки. На мышку не реагирует, только курсор движется.
    Я попытался зайти в меню Пуск, с помощью WIN и, Ctrl+Esc, но комп ни как не реагирует. F8, тоже не дает возможность войти в безопасный режим.
    Подскажите, что делать?
     
    Последнее редактирование: 9 фев 2011
    1 человеку нравится это.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Alt+Ctrl+Del работает?

    Добавлено через 5 минут 15 секунд
    Если работает, то в открывшемся окне файл=> новая задача

    Набрать regedit и найти в реестре:
    Код (Text):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Найти параметр
    Shell значение которого должно быть "Explorer.exe" без кавычек.
     
  3. Пётр
    Оффлайн

    Пётр Активный пользователь

    Сообщения:
    76
    Симпатии:
    3
    Shell значение которого должно быть "Explorer.exe" без кавычек, нашел, что дальше? Его удалить?
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Пётр, удалять нельзя.
    Значение было изменено?

    Если нет, таким же способом можно запустить утилиты для сбора логов. Для дальнейшей диагностики нужны логи.
     
  5. Пётр
    Оффлайн

    Пётр Активный пользователь

    Сообщения:
    76
    Симпатии:
    3
    да ,"Explorer.exe", без кавычек
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Пётр, у друга осталась ссылка на блокера? Для анализа изменений в системе полезно.

    Если осталось, то отправьте мне ее в ЛС.
     
  7. Пётр
    Оффлайн

    Пётр Активный пользователь

    Сообщения:
    76
    Симпатии:
    3
    Логи готовы
     
  8. Пётр
    Оффлайн

    Пётр Активный пользователь

    Сообщения:
    76
    Симпатии:
    3
    Извините, логи не вставил
     

    Вложения:

  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\n1deiect.com','');
     QuarantineFile('C:\autorun.inf','');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\n1deiect.com');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
      BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы.

    Добавлено через 9 секунд
    Повторите логи.
     
    1 человеку нравится это.
  10. Пётр
    Оффлайн

    Пётр Активный пользователь

    Сообщения:
    76
    Симпатии:
    3
    Повторные логи. Файлы quarantine.zip и virusinfo_cure.zip отправил
     

    Вложения:

    Последнее редактирование: 9 фев 2011
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    end.
    Что с проблемами?

    Добавлено через 11 минут 38 секунд
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  12. Пётр
    Оффлайн

    Пётр Активный пользователь

    Сообщения:
    76
    Симпатии:
    3
    Вымогатель убит. :victory: Все работает, честь и хвала "akoK"
    Только последий скрип, можно завтра выполнить, а то я сегодня уже избегался до соседа, да у нас уже 22-00 вечера.
     
    Последнее редактирование: 9 фев 2011
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Пётр, подождет до завтра.
     
    1 человеку нравится это.
  14. Пётр
    Оффлайн

    Пётр Активный пользователь

    Сообщения:
    76
    Симпатии:
    3
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Версия базы данных: 5721

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    09.02.2011 18:49:53
    mbam-log-2011-02-09 (18-49-39).txt

    Тип сканирования: Быстрое сканирование
    Просканированные объекты: 210198
    Времени прошло: 3 минут, 22 секунд

    Заражённые процессы в памяти: 0
    Заражённые модули в памяти: 0
    Заражённые ключи в реестре: 0
    Заражённые параметры в реестре: 0
    Объекты реестра заражены: 3
    Заражённые папки: 12
    Заражённые файлы: 3

    Заражённые процессы в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые модули в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые ключи в реестре:
    (Вредоносных программ не обнаружено)

    Заражённые параметры в реестре:
    (Вредоносных программ не обнаружено)

    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

    Заражённые папки:
    c:\program files\newdotnet (Adware.NewDotNet) -> No action taken.
    c:\program files\VVSN (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL2 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL3 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL4 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL5 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL6 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL7 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL8 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL9 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL10 (Adware.WhenU) -> No action taken.

    Заражённые файлы:
    c:\documents and settings\Admin\local settings\Temp\0.007082671134180263.exe (Trojan.Dropper) -> No action taken.
    c:\program files\newdotnet\readme.html (Adware.NewDotNet) -> No action taken.
    c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.
     
  15. zirreX
    Оффлайн

    zirreX Ассоциация VN

    Сообщения:
    739
    Симпатии:
    440
    Удалить в MBAM:
    Код (Text):
    Заражённые папки:
    c:\program files\newdotnet (Adware.NewDotNet) -> No action taken.
    c:\program files\VVSN (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL2 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL3 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL4 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL5 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL6 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL7 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL8 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL9 (Adware.WhenU) -> No action taken.
    c:\program files\VVSN\URL10 (Adware.WhenU) -> No action taken.

    Заражённые файлы:
    c:\documents and settings\Admin\local settings\Temp\0.007082671134180263.exe (Trojan.Dropper) -> No action taken.
    c:\program files\newdotnet\readme.html (Adware.NewDotNet) -> No action taken.
    c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.
    Сделайте новый лог полного сканирования MBAM.
     
    2 пользователям это понравилось.
  16. Пётр
    Оффлайн

    Пётр Активный пользователь

    Сообщения:
    76
    Симпатии:
    3
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Версия базы данных: 5721

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    10.02.2011 12:21:50
    mbam-log-2011-02-10 (12-21-32).txt

    Тип сканирования: Быстрое сканирование
    Просканированные объекты: 210121
    Времени прошло: 3 минут, 4 секунд

    Заражённые процессы в памяти: 0
    Заражённые модули в памяти: 0
    Заражённые ключи в реестре: 0
    Заражённые параметры в реестре: 0
    Объекты реестра заражены: 3
    Заражённые папки: 0
    Заражённые файлы: 0

    Заражённые процессы в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые модули в памяти:
    (Вредоносных программ не обнаружено)

    Заражённые ключи в реестре:
    (Вредоносных программ не обнаружено)

    Заражённые параметры в реестре:
    (Вредоносных программ не обнаружено)

    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

    Заражённые папки:
    (Вредоносных программ не обнаружено)

    Заражённые файлы:
    (Вредоносных программ не обнаружено)
     
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Активного заражения не видно.
     
    1 человеку нравится это.
  18. Пётр
    Оффлайн

    Пётр Активный пользователь

    Сообщения:
    76
    Симпатии:
    3
    Да, все чисто. Спасибо огромное.
     
Статус темы:
Закрыта.

Поделиться этой страницей