"Разморозка ВКотакте" вирус

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Andy_B, 22 апр 2013.

  1. Andy_B

    Andy_B Junior User

    Здравствуйте, у меня сложилась такая ситуация, сегодня зашел вконакт и сразу на странице появилось окно "Разморозка ВКонтакте" отправь смс на номер для получения кода подтверждения, понял что это вирус после того как за отправку бесплатного смс надо было платить, попробовал зайти на свою страницу с другого комп`ютера или вообще любую на другую страницу, я так понял это некий Аutorun червь или что то подобное когда заходишь в ВК он запускается, буду благодарен за помощь!

    Вот логи:

    http://rghost.ru/45482797
    http://rghost.ru/45482817
    http://rghost.ru/45482830
     
  2. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Здравствуйте!


    скачайте дистрибутив с uVS отсюда - http://rghost.ru/44955544 - распакуйте его и выполните следующий скрипт:
    - запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
    - копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
    Код:
    ;;uVS v3.77.10 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo %Sys32%\RPCSS.DLL
    bl BB2943BB6B317D72F30DCBA247745CA3 508736
    addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD
    bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304
    addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
    delref HTTP://SUPER-WEB.NET
    delref HTTP://WWW.MAIL.RU/CNT/9516
    setdns Подключение по локальной сети\4\{F498EA14-48BA-4E63-B1ED-D66BF6403EF3}\
    chklst
    delvir
    deltmp
    delnfr
    EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old
    EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old
    EXEC cmd /c copy store\nt61\rpcss.dll %windir%\system32\rpcss.dll
    EXEC cmd /c copy store\nt61\rpcss.dll %windir%\system32\dllcache\rpcss.dll
    czoo
    restart
    - затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
    - скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
    - обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
    - ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
    - по окончанию выполнения скрипта компьютер перезагрузится.
    - в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес sendvirus2011@gmail.com.
    - после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
     
  3. Andy_B

    Andy_B Junior User

    после проделаного что вы мне посоветовали компютер перезагрузился и половина приложений не работает звука нет
     
  4. Andy_B

    Andy_B Junior User

    может можно сделать как то откат?
     
    Последнее редактирование: 22 апр 2013
  5. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    выполните такой скрипт:

     
  6. Andy_B

    Andy_B Junior User

    uvs не запускается
     
  7. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    в Безопасном режиме попробуйте
     
  8. Andy_B

    Andy_B Junior User

    тоже не получается
     
  9. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    а как запускаете uVS? архив с программой распаковали? попробуйте запускать startf.exe или startd.cmd
     
  10. Andy_B

    Andy_B Junior User

    распаковал в отделюную папку, start.exe , беру "Запуск от имени текущего пользователя" - программа не реагирует на действие
     
  11. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    зайдите в безопасный режим. в папке с uVS будет каталог store\nt51 - скопируйте из него файл rpcss.dll в папку windows\system32 с заменой и перезагрузитесь
     
  12. Andy_B

    Andy_B Junior User

    выполнил скрипт в безопасном, все без изменений звука нет программы не запускаются
     
  13. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    новый образ автозапуска сделайте
    но посмотреть только с утра смогу
     
  14. Andy_B

    Andy_B Junior User

    та ладно уже, я думаю будет проще ось переставить чем собирать это все в прежнее рабочее состояние, Спасибо на помощь)))
     
  15. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    возможно вылечиться будет быстрее и узнать в чем причина была
    все же сделайте новый лог
     

Поделиться этой страницей