Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   WinLock (SMS-вымогатель) (http://forum.oszone.net/showthread.php?t=168486)

Budeniy 25-02-2010 11:56 1355522
WinLock (SMS-вымогатель)
 
Вложений: 1
Подхватил троян-вымогатель. При загрузке виндовс, на весь экран выводилось сообщение, что у меня на компьютере какой-то вирус и надо срочно отправить смс на указанный номер. В интернете прочитал, что через 2 часа троян сам удалится. На утро сообщение исчезло, но все диски, кроме системного(D, E, F) вдруг стали сменными и зайти на них нельзя, так же отключен диспетчер задач и редактор реестра. Cure it! ничего не находил. На вашем форуме нашел похожую тему, запустил пару скриптов в AVZ и сейчас диспетчер, реестр и диски D и F под моим контролем. Помогите полностью избавиться от вируса.

okshef 25-02-2010 12:23 1355554
Budeniy, выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\md.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур обновите базы AVZ и повторите логи.

Budeniy 25-02-2010 13:04 1355576
Вложений: 1
Выкладываю. Теперь у меня комп чист?

okshef 25-02-2010 13:29 1355596
Еще один скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\cscript.exe','');
 QuarantineFile('C:\WINDOWS\system32\wuauclt.exe','');
 QuarantineFile('C:\WINDOWS\system32\comres.dll','');
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
 DeleteFile('C:\WINDOWS\system32\sfcfiles.dll');
 DeleteFile('C:\WINDOWS\system32\comres.dll');
 DeleteFile('C:\WINDOWS\system32\wuauclt.exe');
 DeleteFile('C:\WINDOWS\system32\cscript.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните второй скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Budeniy 25-02-2010 13:43 1355606
Запрос отправил, но сразу же возникла проблема. После выполнения скрипта, при запуске любой программы вылазит сообщение " Приложению не удалось запуститься, поскольку COMRes.dll не был найден. Повторная установка приложения может исправить эту проблему". Если Фаерфокс и AVZ после нескольких тычков на "ок" все таки запустились, то много других прог не хотят работать :(
Цитата:
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini, comres.dll, cscript.exe, sfcfiles.dll, wuauclt.exe Файлы в процессе обработки. С уважением, Лаборатория Касперского
Вот получил такое письмо от касперского.

okshef 25-02-2010 13:55 1355619
Откройте отображение скрытых и системных файлов и скопируйте из папки \WINDOWS\system32\dllcache\ в папку \WINDOWS\system32 файлы comres.dll, cscript.exe, sfcfiles.dll, wuauclt.exe, перезагрузитесь.
Ждем ответ из лаборатории Касперского.

Budeniy 25-02-2010 14:07 1355628
У меня нет там такой папки. Вообще поиск comres.dll в папке \WINDOWS\ результата не дал.

okshef 25-02-2010 14:14 1355638
Запустите AVZ, Файл - Карантин - восстановите файлы из карантина.
Цитата:
Цитата Budeniy
У меня нет там такой папки. »
Либо вы не включили отображение скрытых и системных файлов, либо являйтесь "счастливым" обладателем супер-пупер-урезанной сборки Windows. Поздравляю!

Budeniy 25-02-2010 14:20 1355643
А, ну я конечно же отношусь ко второму варианту :)

thyrex 25-02-2010 14:58 1355672
Вложений: 1
Budeniy, скачайте архив из вложения. В нем нужные файлы

akok 25-02-2010 14:59 1355674
Если не помогут рекомендации thyrex.

Попробуйте восстановить систему при помощи средства «Восстановление системы».

Drongo 25-02-2010 15:48 1355705
Budeniy, Выполните в AVZ такой скрипт. Компьютер перезагрузится.
Код:
Begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
CopyFile('%windir%\system32\dllcache\comres.dll', '%windir%\system32\comres.dll');
CopyFile('%windir%\system32\dllcache\wuauclt.exe', '%windir%\system32\wuauclt.exe');
CopyFile('%windir%\system32\dllcache\cscript.exe', '%windir%\system32\cscript.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','SFCDisable',000000000);
 ExecuteRepair(8);
 ExecuteRepair(19);
RebootWindows(true);
end.

Budeniy 27-02-2010 09:36 1357128
Что-то от касперского мне ничего не приходит(( Вот обнаружил очередную проблему: этот вирус как-то запретил доступ к некоторым файлам - не могу открыть PDF файл, раньше все открывалось...

thyrex 27-02-2010 11:12 1357203
Цитата:
Цитата Budeniy
не могу открыть PDF файл, раньше все открывалось... »
Что за сообщение выдает?

Budeniy 27-02-2010 11:40 1357227
"Отказано в доступе"

Drongo 27-02-2010 11:46 1357232
Budeniy, Прикрепите проблемный файл, небольшого размера или залейте на любой файлообменник.

Budeniy 27-02-2010 12:01 1357244
Вложений: 1
Вотъ. У меня похоже вообще все pdf файлы перестали открываться.

iskander-k 27-02-2010 15:09 1357417
Цитата:
Цитата Budeniy
У меня похоже вообще все pdf файлы перестали открываться. »
Этот pdf открывается без проблем. Попробуйте переустановить акробата.


Время: 02:06.

Время: 02:06.
© OSzone.net 2001-