-
Junior Member
- Вес репутации
- 53
Последствия после порно банера
На днях появился порно вымогатель, при загрузки виндовс выскакивала табличка , даже не появлялся рабочий стол все останавливалось на добро пожаловать.
Вымогатель был удален с помощью Kaspersky WindowsUnlocker, у меня к вам просьба проверте пожалуста последствия порнобанера.Логи прилогаю
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) bentel, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe','');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','UserInit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Карантин выслал логи прилогаю
-
1.Профиксите в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/7227
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - Default URLSearchHook is missing
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('c:\WINDOWS\TEMP\as.exe','');
QuarantineFile('c:\documents and settings\administrator\local settings\Temp\0.8587516550445867.exe','');
DeleteFile('c:\documents and settings\administrator\local settings\Temp\0.8587516550445867.exe');
DeleteFile('c:\WINDOWS\TEMP\as.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\administrator\\local settings\\temp\\0.8587516550445867.exe - Trojan-Ransom.Win32.DoubleEagle.eg ( DrWEB: Trojan.Siggen3.10627, BitDefender: Trojan.Generic.6708562, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\docume~1\\admini~1\\locals~1\\temp\\svchost.ex e - Worm.Win32.VB.cvp ( DrWEB: Worm.Siggen.5244, BitDefender: Trojan.Generic.KDV.367610, NOD32: Win32/VB.QEJ trojan, AVAST4: Win32:VB-ZEN [Trj] )
- c:\\windows\\temp\\as.exe - Trojan-Ransom.Win32.DoubleEagle.eg ( DrWEB: Trojan.Siggen3.10627, BitDefender: Trojan.Generic.6708562, AVAST4: Win32:Rootkit-gen [Rtk] )
-