-
Junior Member
- Вес репутации
- 54
Вирус вымогатель!!!! ПОМОГИТЕ!!!
Всем здравствуйте!!! Появился вирус вымогатель с просьбой отправить смс на биллайн, при каждом старте номер телефона меняется, так что сразу скажу коды не подходят. Загрузился с Live CD загрузил ветку реестра прошел сюда HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр shell был таким C:\Documents and Settings\All Users\Application Data\22CC6C32.exe поменял на Explorer.exe, прошел сюда C:\Documents and Settings\All Users\Application Data, удалил бяку 22CC6C32.exe, скопировал чистые «userinit.exe» и«taskmgr.exe», ничего не помагло, комп не стартует, опять табличка, но уже с новым телефоном, как мне загрузиться??? Безопасный режим тоже не работает, сразу идет в перегрузку. Так что логи сделать пока нет возможности.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) lavrov, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 54
-
1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с системы, аналогичной заблокированной)
2. Загрузиться с Live CD
3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache),
4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
5. Исправляете параметры: shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (запятая обязательна!).
Пробуете стартовать в проблемной системе
Если загрузка пройдет успешно, не торопитесь уходить. Вполне возможно, что будут остатки, которые нужно будет добивать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Хорошо, уже загружаюсь, откуда только эта гадость берётся
Добавлено через 26 минут
Стартонул, УРАААА!!! Логи сделаю завтра, еще пришлось поменять год в биосе, на 2015
Последний раз редактировалось lavrov; 29.10.2011 в 00:35.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 54
Вот логи, посмотрите пожалуйста
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\MSVCRTDnq0.dll','');
QuarantineFile('C:\WINDOWS\system32\netsvcs_0x0ex.dll','');
QuarantineFile('C:\WINDOWS\system32\wajwaprnlib.dll','');
QuarantineFile('C:\Program Files\Ufkl\Qdvdfyomy.bmp','');
QuarantineFile('C:\Program Files\Gxjn\Onuljjrkq.gif','');
QuarantineFile('C:\Program Files\Hlwy\Cofkyjhyd.gif','');
SetServiceStart('TCPZ', 4);
DeleteService('TCPZ');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys');
DeleteFile('C:\Program Files\Hlwy\Cofkyjhyd.gif');
DeleteFile('C:\Program Files\Gxjn\Onuljjrkq.gif');
DeleteFile('C:\Program Files\Ufkl\Qdvdfyomy.bmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Uevulb Mditoaia Frd\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Aljuuv Kijojvah Klu\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Pwapaf Kfcnmcos Yic\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\wajwaprnlib.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WajwSvc\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\netsvcs_0x0ex.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x0\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог gmer
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Файл сохранён как 111029_140617_virusinfo_cure_4eac085968c2e.zip
Размер файла 220194
MD5 a6eff39f5a9f2cacd62a3cbc1a4571ef
Добавлено через 1 час 49 минут
Установил свежего лицензионного DrWeb-a, проверил, все чисто, проверил утилитой от Касперского тоже чисто.... или все же сделать логи???
Последний раз редактировалось lavrov; 29.10.2011 в 19:56.
Причина: Добавлено
-
Выполните все написанное после скрипта в моей предыдущей рекомендации
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\daemon tools\\setupdtsb.exe - not-a-virus:WebToolbar.Win32.WhenU.a ( DrWEB: Adware.SaveNow, BitDefender: Adware.Generic.59338 )
-