Решена СМС Блогер-зловред

[Пётр]

Всем, доброго времени суток!
Суть проблеммы, сосед поймал блогер.
Я с помощью сервиса Deblocker разблокировал, блогер с экрана исчез, но рабочий стол чистый, нет ни одной иконки. На мышку не реагирует, только курсор движется.
Я попытался зайти в меню Пуск, с помощью WIN и, Ctrl+Esc, но комп ни как не реагирует. F8, тоже не дает возможность войти в безопасный режим.
Подскажите, что делать?

 

[akok]

Alt+Ctrl+Del работает?

Добавлено через 5 минут 15 секунд
Если работает, то в открывшемся окне файл=> новая задача

Набрать regedit и найти в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Найти параметр
Shell значение которого должно быть "Explorer.exe" без кавычек.

 

[Пётр]

Shell значение которого должно быть "Explorer.exe" без кавычек, нашел, что дальше? Его удалить?

 

[akok]

Пётр, удалять нельзя.
Значение было изменено?

Если нет, таким же способом можно запустить утилиты для сбора логов. Для дальнейшей диагностики нужны логи.

 

[Пётр]

да ,"Explorer.exe", без кавычек

 

[akok]

Пётр, у друга осталась ссылка на блокера? Для анализа изменений в системе полезно.

Если осталось, то отправьте мне ее в ЛС.

 

[Пётр]

Логи готовы

 

[Пётр]

Извините, логи не вставил

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\n1deiect.com','');
 QuarantineFile('C:\autorun.inf','');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\n1deiect.com');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
  BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы.

Добавлено через 9 секунд
Повторите логи.

 

[Пётр]

Повторные логи. Файлы quarantine.zip и virusinfo_cure.zip отправил

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
end.

Что с проблемами?

Добавлено через 11 минут 38 секунд
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

[Пётр]

Вымогатель убит. :victory: Все работает, честь и хвала "akoK"
Только последий скрип, можно завтра выполнить, а то я сегодня уже избегался до соседа, да у нас уже 22-00 вечера.

 

[akok]

Пётр, подождет до завтра.

 

[Пётр]

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5721

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.02.2011 18:49:53
mbam-log-2011-02-09 (18-49-39).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 210198
Времени прошло: 3 минут, 22 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 12
Заражённые файлы: 3

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
c:\program files\newdotnet (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL2 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL3 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL4 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL5 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL6 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL7 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL8 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL9 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL10 (Adware.WhenU) -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\local settings\Temp\0.007082671134180263.exe (Trojan.Dropper) -> No action taken.
c:\program files\newdotnet\readme.html (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.

 

[zirreX]

Удалить в MBAM:

Заражённые папки:
c:\program files\newdotnet (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL2 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL3 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL4 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL5 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL6 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL7 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL8 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL9 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL10 (Adware.WhenU) -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\local settings\Temp\0.007082671134180263.exe (Trojan.Dropper) -> No action taken.
c:\program files\newdotnet\readme.html (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.

Сделайте новый лог полного сканирования MBAM.

 

[Пётр]

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5721

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.02.2011 12:21:50
mbam-log-2011-02-10 (12-21-32).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 210121
Времени прошло: 3 минут, 4 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 0
Заражённые файлы: 0

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
(Вредоносных программ не обнаружено)

 

[akok]

Активного заражения не видно.

 

[Пётр]

Активного заражения не видно.

Да, все чисто. Спасибо огромное.