Добрый день.

Помогите мне пожалуйста с моим компьютером! У меня такая проблема. Сегодня при работе с компьютером я видно подцепил вирус из инета.
Вирус такой: При обычной загрузке компа у меня после приветствия выскакивает черный экран и на его фоне краными буквами написано: Он лайн атнивирус касперского.
У вас на компьютере обнаружен вирус. Если вы хотите от него избавиться то пошлите по указанному смс номеру такой то код и в ответ вам придет код с отменой антивиря. стоимость составляет 6 рублей. Я понимаю, что это лохотрон ... но я никак немогу запустить компьютер дальше так как все стоит и все на этом. Я попробовал загрузить последнюю удачную версию загрузки, но по итогу после приветствия компа снова выскакивет данная заставка и полный пипец...
P.S. Причем на компе стоит DR. WEB, а касперский у меня и в помине отсутствовал.....
ПОМОГИТЕ люди добрые!!!!!!! :help:

sztksales, Здравствуйте. Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.

Попробуйте код ХХХХХХХХХХХХХХХХ
Если поможет, выполните то, что рекомендовал iskander-k в предыдущем сообщении

Привет iskander-k, и thyrex, !
Спасибо, что откликнулись на мою беду. :clapping:

Итак по пунктам: 1. Выставляю логи для изучения.
Хотя логи я бы несмог выставить так, как доступ к компьютеру был абсолютно ограничен и недоступен, если бы не подсказка thyrex, благодая его коду я смог войти в систему Windows xp2000!!!! Спасибо!!!!! :wink:
Хочу теперь узнать как поживает мой компьютер.
P.S. Что смог увидеть невооруженным взглядом это то, что у меня например неработает диспетчер задач, нажимаю ctrl+alt+delet= пишет, что отключен администатором.....

Вы пишите -выполните то, что рекомендовал iskander-k в предыдущем сообщении »Сообщение №2 в этой теме :)

На время выполнения скриптов отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Пофиксить в HiJack
F2 - REG:system.ini: Shell=explorer.exe,user32.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,


Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('taskkill.exe','');
QuarantineFile('cmd.exe','');
QuarantineFile('E:\md.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
TerminateProcessByName('c:\windows\system32\user32.exe');
QuarantineFile('c:\windows\system32\user32.exe','');
DeleteFile('c:\windows\system32\user32.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\md.exe');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполнить скрипт в AVZ.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

thyrex,
Я во время выполнения скриптов отключал все защитное ПО!!!!!! Как написано в руководстве.
Иак выставляю новые логи. Да и я как вы thyrex сказали написал письмо и отправил quarantine.zip из папки AVZ.
Вот их Ответ: Здравствуйте,

autorun.inf

Вредоносный код в файле не обнаружен.

md.exe_ - Trojan-Ransom.Win32.SMSer.ge

Этот файл определяется антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.

--
С уважением, Сергей Прокудин
Вирусный аналитик Лаборатории Касперского.

Что с проблемой?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
http://virusnet.info/images/Combofix-unninstal.JPG

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), запустите, нажмите Clean up



Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

akok, Добрый день.

Ну что я могу сказать, что при включении компьютера заставки вируса просящего перевести денег у меня нет. Кстати вот его фото ( прошу заранее извинить за плохое качество, так как технические возможности на моем телефоне фотика очень малы по пикселям....Ну хоть что то чем совсем ничего) :(

Теперь по существу вами сказанного:
1. У меня на компе нет Combofix. Где вы его нашли у меня??? Немогли бы вы показать адрес его нахождения....
2. Пытался загрузить и запустить OTCleanIt после нажатия клавиши "Выполнить" (чтоб запустить программу) комп мне выдает следющее предупреждение: С:\Documents and Settings\Fylhtq|Local Settings\Temporary Internet Files\Content.IE5\2K10LU2J\OTC[1]exe не является приложением Win32 и дальше нет никаких сдвигов в работе данной программы. :(
3. Прикладываю лог файл Результаты сканирования Malwarebytes' Anti-Malware

С:\Documents and Settings\Fylhtq|Local Settings\Temporary Internet Files\Content.IE5\2K10LU2J\OTC[1]exe не является приложением Win32
Его бы сохранить на рабочий стол. :)

1. У меня на компе нет Combofix. Где вы его нашли у меня??? Немогли бы вы показать адрес его нахождения....

C:\ComboFix\catchme.sys

Драйвер висит в системе.

akok,

Сделал как Вы сказали. Прочистил комап прогой OTCleanIt.
Снова загрузил ComboFix и снес данную программу, так как на C:\ComboFix\catchme.sys его невижу.. ....
И последний вопрос к вам на данном форуме.
Результаты сканирования Malwarebytes' Anti-Malware я выставил... Немогли бы вы сказать, что на смом деле вредное, а что можно оставить неподчищая все и вся так как например строчки:
e:\властелин колец\властелин колец - битва за средиземье ii - под знаменем короля-чародея (софт клаб) адд\Keygen.exe (Malware.Packer) -> No action taken.
e:\мои документы\downloads\universal document converter 4.2\Patch\Patch.exe (Backdoor.IRCBot) -> No action taken.
e:\мои документы\downloads\властелин колец\властелин колец - битва за средиземье ii - под знаменем короля-чародея (софт клаб) адд\Keygen.exe (Malware.Packer) -> No action taken.
Так как эти файлы от игры. А вот что с другими строчками делать????? Неужели все их надо удалять????? :(
Или что то можно оставить?????

sztksales, просто MBAM славится своей нелюбовью к разным патчам и кейгенам :)
Остальные строки на Ваше усмотрение

thyrex, к сожалению у меня по всем выставленным веткам обнаруженных прогой MBAM нет тех "лишних" и вредоносных объектов.
Каждая из них работает и отвечат за какую либо работу программ в моем компьютере. Я как то побаиваюсь что либо сносить, так как боюсь сбоев в моем компьтере по определенным программам. Вы точно уверены, что можно вообще пользоваться данным приложением в виде MBAM ????? :( Уж как то она неадекватна...


Ну что мои хорошие!!!
Спасибо всем огромное, а именно: iskander-k, thyrex, akok,
Что бы я без вас делал. Огромное человеческое СПАСИБО! за вашу помощь и труд!!!!!!!!! :) :victory: :pray: :clapping:
Тему считаю закрытой!!! :victory:
P.S. Как хорошо, что есть такой форум и такие умные Кулибины...)))