Не могу избавиться от вируса, который требует отправить СМС

08.04.2009, 09:43. **Показов** 218874. **Ответов** 136

Студворк — интернет-сервис помощи студентам

Помогите справиться с вирусов... Он заблокировал вход в операционную систему и просит отправить смс с №41110579646 на номер 3649, как ото него избавиться ума не приложу помогите очень нужно

@.None · 13.08.2009, 10:43

Linu Laneral,

Отключите антивирус и фаервол!!!

AVZ, файл, выполнить скрипт

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 StopService('ASKUpgrade');
 StopService('ASKService');
 DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
 DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
 DeleteFile('c:\program files\askbardis\bar\bin\askservice.exe');
 DeleteFile('c:\program files\askbardis\bar\bin\askupgrade.exe');
 DeleteService('ASKUpgrade');
 DeleteService('ASKService');
 DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
 DeleteFile('C:\WINDOWS\system32\plugshow.dll');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!!!

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

13.08.2009, 13:13

у меня тож такой вирус, вот логи, при чем его программа ad munched блокирует? вопрос в том не она ли виновата вообще

13.08.2009, 13:51

Перезагрузился и он снова вылезает %) В пуске есть ссылка на удаление баннера, путь D:\WINDOWS\system32\delplug.exe вот такой

@.None · 13.08.2009, 14:14

Se[rg],

Отключите антивирус и фаервол!!!

AVZ, файл, выполнить скрипт

Code
1
2
3
4
5
6
7
8
9
10
11
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('D:\WINDOWS\system32\plugshow.dll','');
 DeleteFile('D:\WINDOWS\system32\plugshow.dll');
 QuarantineFile('D:\WINDOWS\system32\wzcdlg.dll','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!!!

Опять AVZ, выполнить скрипт

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip выложите на обменник в инете, ссылку мне в ЛС.

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

зачем 2 антивируса? вижу касперского и авиру, один нужно удалить, базы обновляются?

@Linu Laneral · 13.08.2009, 15:51

.None, спасибо за помощь, уже все прошло.

@.None · 13.08.2009, 18:20

в смысле прошло?
само прошло или после скрипта?

если после скрипта, нужно проверить (сделать еще раз лог как я написал), может осталось чего, и карантин мне прислать, чтоб я его отправил в антивирусную лабораторю и его внесли в базы, чтоб другие не поймали его.

@Linu Laneral · 14.08.2009, 13:34

прошло после выполнения первой проверки азсом. но я сейчас сделаю, как вы сказали.

14.08.2009, 14:26

Подхватила похожую хрень, комп заблокировала полностью, пишет чтоб отправила код пополнения счета на мыло и все уже не знаю что делать ничего не помогает, винду перебила и как только к инету подключаюсь опять появилась. Пишет привыполнении каких-либо действий что невозможно выполнить из-зи ограничений на компе. обратитесь к администратору сети. Помогите пожалуйста справиться

@den4131 · 14.08.2009, 15:45

сегодня возникла та же проблемма что и у Se[rg] и Linu Laneral, нашел кучу исполняемых файлов на диске и записи в реестре, в том числе и те что указаны в скриптах .None, удалил все, но это не помогло, помогло лишь удаление файла "services.exe" в папке C:\windows через "Unlocker", это и есть порноинформер, оригинальный системный файл "services.exe" лежит в папке C:\windows\system32 его удалять не нужно ;-)

@.None · 14.08.2009, 15:55

для каждого случая лечебные скрипты уникальны!!!
выполняя чужие скрипты можно запросто и безвозвратно навредить системе, по-этому настоятельно не рекомендуется выполнение "чужих" скриптов.

Добавлено через 32 секунды
den4131, вы бы сделали логи на всяк случай...

@den4131 · 14.08.2009, 16:07

Скрипты я не выполнял, просто искал похожие файлы, просматривал и удалял

прикрепил лог

@.None · 14.08.2009, 16:27

den4131,

Отключите антивирус и фаервол!!!

AVZ, файл, выполнить скрипт

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('c:\program files\arum switcher\arumswitcher.exe','');
 DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
 DeleteService('wscsvc');
 QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\tapi.nfo','');
 DeleteFile('C:\WINDOWS\system32\tapi.nfo');
 DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\Documents and Settings\atorin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
 ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!!!

Опять AVZ, выполнить скрипт

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip выложите на обменник в инете, ссылку мне в ЛС.

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

@den4131 · 14.08.2009, 16:44

выполнил, quarantine.zip отправил в личку, спасибо

@.None · 14.08.2009, 17:01

den4131,

теперь вроде все впорядке
Обновите базы DrWeb, он уже детектит ваши вируса
C:\WINDOWS\system32\tapi.nfo - Trojan.DownLoad.44006

вот с этим разберитесь

>> Нарушение ассоциации SCR файлов
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей

AVZ меню файл, Мастер поиска и устранения проблем, там выбирайте Все проблемы, все что найдет - исправить.

@Linu Laneral · 14.08.2009, 17:30

Все вроде сделала как вы сказали

@.None · 14.08.2009, 17:48

Linu Laneral,

вроде все хорошо

разберитесь вот с этим

>> Нарушение ассоциации SCR файлов
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей

AVZ меню файл, Мастер поиска и устранения проблем, там выбирайте Все проблемы, все что найдет - исправить.

@kovalenko199393 · 06.09.2009, 17:14

у кого такая хрень, вхадите в безопастном режиме и всё ок!

Новые блоги и статьи Все статьи Все блоги /
Рефакторинг программы уравнивания. Massaraksh7 26.05.2026 Пример по предыдущей записи в блоге. Но, надо заметить, что, во-первых, там оптимизация не только математики, но и работы с базой данных, и с графами, а во-вторых, это ещё не всё.	Использование TThread в Lazarus для математических вычислений. Massaraksh7 25.05.2026 Производя рефакторинг своих программ на предмет ускорения их работы, обратил внимание на такой аспект, как сокращение времени матвычислений. Дело в том, что приходится работать с большими матрицами. . .	Модель здравосохранения 18. Чем здоровее работник, тем быстрее выгорает anaschu 24.05.2026 Имитационная модель корпоративного здравоохранения: что показывает математика Сегодня в модели рабочего коллектива на AnyLogic появились три новые механики — выгорание через накопленную усталость,. . .	Модель здравосохранения 17. Планы на выгорание anaschu 23.05.2026 Вот конкретная схема реализации: В классе Работник добавить: накопленнаяУсталость — растёт каждый час работы, снижается в перерывы и болезни коэффициентПрезентеизма — снижает продуктивность. . .
Изменение цветов в палитре gif файла aka фавикона russiannick 23.05.2026 Изменение цветов в палитре gif файла, юзаемого как фавиконка в составе html-файла, помещенная в base64, средствами нативного Java Script, навеянное сном в майский день. Для работы необходим браузер,. . .	Модель здравосохранения 16. Слишком хорошие и здоровые сотрудники уходят, недовольные зарплатой anaschu 23.05.2026 Отладка увольнений и настройка производительности Сегодня во второй половине дня разобрались с механикой увольнений и настроили коэффициент сложности заданий. Вот что было сделано. . . .	Как я стал коммунистом))) Модель сохранения здоровья сотрудников, запись блога номер 15 anaschu 23.05.2026 Внезапно хорошее здоровье сотрудников не нужно капиталистам?))	Модель здравоСохранения 15. Как мы чинили AnyLogic модель рабочего коллектива: сочленение диаграммы состояний болезней и поломок в ресурспул anaschu 23.05.2026 Как мы чинили AnyLogic модель рабочего коллектива Сегодня разобрались с пятью багами, из-за которых модель либо падала с ошибкой, либо давала совершенно бессмысленные результаты. Каждый баг был. . .

Ярослав 81

	Не могу избавиться от вируса, который требует отправить СМС 08.04.2009, 09:43. Показов 218874. Ответов 136 Метки нет (Все метки) Помогите справиться с вирусов... Он заблокировал вход в операционную систему и просит отправить смс с №41110579646 на номер 3649, как ото него избавиться ума не приложу помогите очень нужно

Se[rg]
	13.08.2009, 13:51
	Перезагрузился и он снова вылезает %) В пуске есть ссылка на удаление баннера, путь D:\WINDOWS\system32\delplug.exe вот такой

@Linu Laneral 0 / 0 / 0 Регистрация: 07.08.2009 Сообщений: 5
	13.08.2009, 15:51
	.None, спасибо за помощь, уже все прошло. 0

@.None 4640 / 1696 / 343 Регистрация: 23.06.2009 Сообщений: 6,011
	13.08.2009, 18:20
	в смысле прошло? само прошло или после скрипта? если после скрипта, нужно проверить (сделать еще раз лог как я написал), может осталось чего, и карантин мне прислать, чтоб я его отправил в антивирусную лабораторю и его внесли в базы, чтоб другие не поймали его. 0

@Linu Laneral 0 / 0 / 0 Регистрация: 07.08.2009 Сообщений: 5
	14.08.2009, 13:34
	прошло после выполнения первой проверки азсом. но я сейчас сделаю, как вы сказали. 0

nusik0305
	14.08.2009, 14:26
	Подхватила похожую хрень, комп заблокировала полностью, пишет чтоб отправила код пополнения счета на мыло и все уже не знаю что делать ничего не помогает, винду перебила и как только к инету подключаюсь опять появилась. Пишет привыполнении каких-либо действий что невозможно выполнить из-зи ограничений на компе. обратитесь к администратору сети. Помогите пожалуйста справиться

@den4131 0 / 0 / 0 Регистрация: 14.08.2009 Сообщений: 3
	14.08.2009, 15:45
	сегодня возникла та же проблемма что и у Se[rg] и Linu Laneral, нашел кучу исполняемых файлов на диске и записи в реестре, в том числе и те что указаны в скриптах .None, удалил все, но это не помогло, помогло лишь удаление файла "services.exe" в папке C:\windows через "Unlocker", это и есть порноинформер, оригинальный системный файл "services.exe" лежит в папке C:\windows\system32 его удалять не нужно ;-) 0

@.None 4640 / 1696 / 343 Регистрация: 23.06.2009 Сообщений: 6,011
	14.08.2009, 15:55
	для каждого случая лечебные скрипты уникальны!!! выполняя чужие скрипты можно запросто и безвозвратно навредить системе, по-этому настоятельно не рекомендуется выполнение "чужих" скриптов. Добавлено через 32 секунды den4131, вы бы сделали логи на всяк случай... 0

@kovalenko199393 0 / 0 / 0 Регистрация: 06.09.2009 Сообщений: 3
	06.09.2009, 17:14
	у кого такая хрень, вхадите в безопастном режиме и всё ок! 0