• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена СМС Блогер-зловред

Статус
В этой теме нельзя размещать новые ответы.

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
#1
Всем, доброго времени суток!
Суть проблеммы, сосед поймал блогер.
Я с помощью сервиса Deblocker разблокировал, блогер с экрана исчез, но рабочий стол чистый, нет ни одной иконки. На мышку не реагирует, только курсор движется.
Я попытался зайти в меню Пуск, с помощью WIN и, Ctrl+Esc, но комп ни как не реагирует. F8, тоже не дает возможность войти в безопасный режим.
Подскажите, что делать?
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
13,767
Симпатии
11,589
#2
Alt+Ctrl+Del работает?

Добавлено через 5 минут 15 секунд
Если работает, то в открывшемся окне файл=> новая задача

Набрать regedit и найти в реестре:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Найти параметр
Shell значение которого должно быть "Explorer.exe" без кавычек.
 

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
#3
Shell значение которого должно быть "Explorer.exe" без кавычек, нашел, что дальше? Его удалить?
 

akok

Команда форума
Администратор
Сообщения
13,767
Симпатии
11,589
#4
Пётр, удалять нельзя.
Значение было изменено?

Если нет, таким же способом можно запустить утилиты для сбора логов. Для дальнейшей диагностики нужны логи.
 

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
#5
да ,"Explorer.exe", без кавычек
 

akok

Команда форума
Администратор
Сообщения
13,767
Симпатии
11,589
#6
Пётр, у друга осталась ссылка на блокера? Для анализа изменений в системе полезно.

Если осталось, то отправьте мне ее в ЛС.
 

akok

Команда форума
Администратор
Сообщения
13,767
Симпатии
11,589
#9
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\n1deiect.com','');
 QuarantineFile('C:\autorun.inf','');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\n1deiect.com');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
  BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы.

Добавлено через 9 секунд
Повторите логи.
 

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
#10
Повторные логи. Файлы quarantine.zip и virusinfo_cure.zip отправил
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
13,767
Симпатии
11,589
#11
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
end.
Что с проблемами?

Добавлено через 11 минут 38 секунд
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
#12
Вымогатель убит. :victory: Все работает, честь и хвала "akoK"
Только последий скрип, можно завтра выполнить, а то я сегодня уже избегался до соседа, да у нас уже 22-00 вечера.
 
Последнее редактирование:

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
#14
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5721

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.02.2011 18:49:53
mbam-log-2011-02-09 (18-49-39).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 210198
Времени прошло: 3 минут, 22 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 12
Заражённые файлы: 3

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
c:\program files\newdotnet (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL2 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL3 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL4 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL5 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL6 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL7 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL8 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL9 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL10 (Adware.WhenU) -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\local settings\Temp\0.007082671134180263.exe (Trojan.Dropper) -> No action taken.
c:\program files\newdotnet\readme.html (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.
 

zirreX

Ассоциация VN
Сообщения
733
Симпатии
336
#15
Удалить в MBAM:
Код:
Заражённые папки:
c:\program files\newdotnet (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL2 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL3 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL4 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL5 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL6 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL7 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL8 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL9 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL10 (Adware.WhenU) -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\local settings\Temp\0.007082671134180263.exe (Trojan.Dropper) -> No action taken.
c:\program files\newdotnet\readme.html (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.
Сделайте новый лог полного сканирования MBAM.
 

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
#16
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5721

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.02.2011 12:21:50
mbam-log-2011-02-10 (12-21-32).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 210121
Времени прошло: 3 минут, 4 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 0
Заражённые файлы: 0

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
(Вредоносных программ не обнаружено)
 
Статус
В этой теме нельзя размещать новые ответы.