[iskander-k]

• Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

• Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
- Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.


[*]Восстановление системы.
Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.


• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\twex.exe','');
 QuarantineFile('\systemroot\system32\drivers\aliserv3.sys','');
 DeleteFile('\systemroot\system32\drivers\aliserv3.sys');
 DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[R0MAR10]

все что не работало - заработало, карантин.зип отправил

обновить МВАМ не удалось ни в автоматическом ни в другом режиме - mbam-rules.exe по ссылке недоступен(ошибка 404), зараженный нотбук к инэту в данный момент не подключен.

лог того что нашел без обновлений.
______________________________

alwarebytes' Anti-Malware 1.41
Database version: 2775
Windows 5.1.2600 Service Pack 3

23.09.2009 1:37:00
mbam-log-2009-09-23 (01-37-00).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 104767
Time elapsed: 13 minute(s), 25 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 6
Registry Values Infected: 1
Registry Data Items Infected: 1
Folders Infected: 1
Files Infected: 9

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aliserv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rotscxivnixvpq (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsfocemetnuqaw (Rootkit.TDSS) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Folders Infected:
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> Quarantined and deleted successfully.

Files Infected:
C:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32\user.ds.lll (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\alil.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\rotscxfwkkubxd.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rotscxbyxuvnnb.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rotscxyqnospwb.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vsfocesxvbsins.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vsfocevbvxdcbf.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
____________________________________________________________________
ну , и точку восстановления системы в начале создать не удалось, выдало ошибку, служба тока заработала, вместе с остальными.



а началось все с вот таких сообщений (в аттаче)


месяц назад появилось первое. с кучей грамматических ошибок. было удалено вручную в сейф-мод, плюс cureIt. в тех что появились несколько дней назад, грамматических ошибок уже не заметно. два скрина - под разными пользователями. указана стоимость 32р. за смс, но в качестве тэста, с номера, на котором было 110р., была отправлена смс, пришел ответ что недостаточно средств на счете, что кагбэ и требовалось доказать, благо номер был выбран без возможности кредита. месяц назад даже такой мысли не возникло ....

п.с. спасибо за помощь!

[iskander-k]

Цитата R0MAR10:

а началось все с вот таких сообщений (в аттаче) »

Для борьбы от таких сообщении не надо отправлять смс на указанный номер, так как это является вирусом - вымогателем. Для отключения такого окна с просьбой прочитайте статью там же есть и оффлайн форма(калькулятор) для номера разблокировки. офлайн форма для разблокировки WinLock - после разблокировки кмпьютера необходимо пройти лечение. (Это на будущее если снова попадётесь)

Если проблем нет :
Создайте новую контрольную точку восстановления и очищаем заражённую.

Далее:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
Можно использовать и OPERA.

Можете почитать например книгу Безопасный Интернет. Универсальная защита для Windows ME - Vista