Помогите ламеру, вирус

[HunT]

Поймал вот такой вирус. Не пускает на популярные сайты(на adslclub зашёл). Написал свой номер, в ответ пришла смска: "Отправьте в ответ 18. Поддержка smshelp.me 150р". Подскажите, как от него избавиться?

Нажмите сюда, чтобы просмотреть текст

[sham]

del

[k0stE]

HunT, загляни в прокси. Сам сегодня такое лечил, по крайней мере похожее.

[HunT]

sham
Не помогло.
k0stE
В прокси, это куда?

[echo]

где вы всю эту заразу цепляите? Ни разу ничего подобного не ловил!

[Wizenya]

[HunT]

Wizenya
Насрать пришёл, тролль?

[Nikolia]

HunT, сюда пустит? http://av-school.ru/desc/a-133.html

[HunT]

Nikolia

Нажмите сюда, чтобы просмотреть текст

[Wizenya]

[Wizenya]

Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. При помощи Диспетчера задач завершить вредоносный процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Изменить значение параметра в ключе системного реестра на следующее:

[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe, "

4. Перезагрузить компьютер.
5. Удалить файл:

%System%\twex.exe

6. Очистить содержимое папки %Temp%.
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

[HunT]

Wizenya
Ок, спасибо. Но: как я узнаю "имя вредоносного процесса", и как я узнаю где он лежит?

[Nikolia]

Ищи twex.exe

[Wizenya]

[Nikolia]

Полный текст с сайта:
Trojan-Spy.Win32.Zbot.ikh
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта.

Инсталляция
Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\twex.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe, "

Деструктивная активность
Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции:

NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData

Используя эти перехватчики, троян следит за работой программы WebMoney Keeper. В момент, когда программа производит авторизацию на сайте, троян извлекает следующую информацию:
• номер интернет-кошелька(WMID);
• пароль;
• режим входа(стандартный/enum-storage);
• версию программы WebMoney Keeper;
• текущий баланс на счету пользователя.

Также троян ищет в системе окна с именами классов:

SunAwtDialog
javax.swing.Jframe

и имеющие следующие заголовки:

Вход в систему
Синхронизация с Банком

Если такие окна найдены, троянец ищет в папке с программой, которой принадлежат эти окна следующие файлы:

prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf

И упаковывает их в архив:

%Temp%\interpro.cab

Также троян извлекает данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).
Троянец перехватывает HTTP запросы со следующих адресов:

https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=

Из перехваченных данных извлекаются все значения полей web-форм, имена которых выбираются по следующим маскам:

*<select
*<option selected
*<input *value="

из кода веб-страниц.
Собранную информацию троян отсылает на сайт злоумышленника.

Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. При помощи Диспетчера задач завершить вредоносный процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Изменить значение параметра в ключе системного реестра на следующее:

[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe, "

4. Перезагрузить компьютер.
5. Удалить файл:

%System%\twex.exe

6. Очистить содержимое папки %Temp%.
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.

[Wizenya]

скорее всего процесс будет SVCHOST.EXE
он в него вроде внедряется

[nethello]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

[nethello]

Как выполнить скрипт в AVZ
http://virusinfo.info/showthread.php?t=7239

[HunT]

nethello
Спасибо, только http://virusinfo.info/showthread.php?t=7239 не грузится.
Nikolia
Спасибо, только я половины не понял.

[Wizenya]