Wynsin64*,32*\2531\5EDC и компания [Trojan-Dropper.Win32.Injector.gsrv, Trojan.Win32.Jorik.Nrgbot.ell
]
Столкнулся с Winsyn64, но начался он как 5EDC, у вас уже тут поднимались эти проблемы, я те скрипты что вы давали, в AVZ прогонял перед тем как написать, не помогло...
У меня заражено три компьютера дома и жесткий диск этой фигней...
На том что заразился первый, при запуске срабатывают сразу 8 вредителей, их имена как правила разные, но winsyn64* и winsyn32* присутствуют всегда. Перед тем как что то возможно сделать, приходиться закрывать их через диспетчер задач (сначала тот что поменьше жрет, потом его наглую копию)
Первый был ноут, он уже с ума сошел.... такие вещи делает...
В приложении ЛОГи с первого кто заболел, и хотелось бы спросить, другие два компьютера этими же скриптами лечить, которые Вы укажите? Или с них делать логи отдельно?
Дрянь та же самая, это факт) перенес ее жестким диском.
И что кстати делать с жестким диском?)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Fedor.v.r., спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Users\user\AppData\Roaming\winxarj\winzip.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\Qbusui.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\Oausug.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\Lausud.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\5CB9.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\2561.exe','');
DeleteFile('C:\Users\user\AppData\Roaming\2561.exe');
DeleteFile('C:\Users\user\AppData\Roaming\5CB9.exe');
DeleteFile('C:\Users\user\AppData\Roaming\Lausud.exe');
DeleteFile('C:\Users\user\AppData\Roaming\Oausug.exe');
DeleteFile('C:\Users\user\AppData\Roaming\Qbusui.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PIg');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PIg');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Mexplorer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Lausud');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Oausug');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qbusui');
DeleteFile('C:\Users\user\AppData\Roaming\winxarj\winzip.exe');
DeleteFileMask('C:\Users\user\AppData\Roaming\winxarj','*',true);
DeleteDirectory('C:\Users\user\AppData\Roaming\winxarj');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
Этот файл находится в папке AVZ.
Если загрузчик сообщает, что данный файл уже был загружен, скорее всего, карантин пуст. Пропустите этот пункт и следуйте далее.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis. А также MBAM.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: