Решена СМС Блогер-зловред

Статус
В этой теме нельзя размещать новые ответы.

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
Баллы
388
#1
Всем, доброго времени суток!
Суть проблеммы, сосед поймал блогер.
Я с помощью сервиса Deblocker разблокировал, блогер с экрана исчез, но рабочий стол чистый, нет ни одной иконки. На мышку не реагирует, только курсор движется.
Я попытался зайти в меню Пуск, с помощью WIN и, Ctrl+Esc, но комп ни как не реагирует. F8, тоже не дает возможность войти в безопасный режим.
Подскажите, что делать?
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,488
Симпатии
12,576
Баллы
2,203
#2
Alt+Ctrl+Del работает?

Добавлено через 5 минут 15 секунд
Если работает, то в открывшемся окне файл=> новая задача

Набрать regedit и найти в реестре:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Найти параметр
Shell значение которого должно быть "Explorer.exe" без кавычек.
 

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
Баллы
388
#3
Shell значение которого должно быть "Explorer.exe" без кавычек, нашел, что дальше? Его удалить?
 

akok

Команда форума
Администратор
Сообщения
15,488
Симпатии
12,576
Баллы
2,203
#4
Пётр, удалять нельзя.
Значение было изменено?

Если нет, таким же способом можно запустить утилиты для сбора логов. Для дальнейшей диагностики нужны логи.
 

akok

Команда форума
Администратор
Сообщения
15,488
Симпатии
12,576
Баллы
2,203
#6
Пётр, у друга осталась ссылка на блокера? Для анализа изменений в системе полезно.

Если осталось, то отправьте мне ее в ЛС.
 

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
Баллы
388
#7
Логи готовы
 

akok

Команда форума
Администратор
Сообщения
15,488
Симпатии
12,576
Баллы
2,203
#9
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\n1deiect.com','');
 QuarantineFile('C:\autorun.inf','');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\n1deiect.com');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
  BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы.

Добавлено через 9 секунд
Повторите логи.
 

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
Баллы
388
#10
Повторные логи. Файлы quarantine.zip и virusinfo_cure.zip отправил
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,488
Симпатии
12,576
Баллы
2,203
#11
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
end.
Что с проблемами?

Добавлено через 11 минут 38 секунд
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
Баллы
388
#12
Вымогатель убит. :victory: Все работает, честь и хвала "akoK"
Только последий скрип, можно завтра выполнить, а то я сегодня уже избегался до соседа, да у нас уже 22-00 вечера.
 
Последнее редактирование:

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
Баллы
388
#14
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5721

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.02.2011 18:49:53
mbam-log-2011-02-09 (18-49-39).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 210198
Времени прошло: 3 минут, 22 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 12
Заражённые файлы: 3

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
c:\program files\newdotnet (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL2 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL3 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL4 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL5 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL6 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL7 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL8 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL9 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL10 (Adware.WhenU) -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\local settings\Temp\0.007082671134180263.exe (Trojan.Dropper) -> No action taken.
c:\program files\newdotnet\readme.html (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.
 

zirreX

Ассоциация VN
Сообщения
733
Симпатии
336
Баллы
443
#15
Удалить в MBAM:
Код:
Заражённые папки:
c:\program files\newdotnet (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL2 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL3 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL4 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL5 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL6 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL7 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL8 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL9 (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL10 (Adware.WhenU) -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\local settings\Temp\0.007082671134180263.exe (Trojan.Dropper) -> No action taken.
c:\program files\newdotnet\readme.html (Adware.NewDotNet) -> No action taken.
c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.
Сделайте новый лог полного сканирования MBAM.
 

Пётр

Активный пользователь
Сообщения
76
Симпатии
3
Баллы
388
#16
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5721

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.02.2011 12:21:50
mbam-log-2011-02-10 (12-21-32).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 210121
Времени прошло: 3 минут, 4 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 0
Заражённые файлы: 0

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
(Вредоносных программ не обнаружено)
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу