Блокировщик Windows - как избавиться окончательно?
Добрый день!
Сразу после загрузки компьютера появилось окно с просьбой отправить смс для разблокировки Windows. Диспетчер задач был заблокирован (но показывал, что идут процессы Sound.exe, crscs.exe), Комбинация Win+U не сработала. При попытках загрузки в безопасном режиме компьютер перезагружался.
Дома был только Live Cd DR Web, с которого запустила сканирование(проверка ничего не нашла). Тогда я вручную удалила C\Windows\system32\crscs.exe, C\Windows\Media\Sound.exe и всю папку С\Temp.
После этого в Windows зайти удалось, запустила AVP Tools, он нашел и удалил crypt.dll и еще несколько вирусов.
Удалила из реестра всю папку Run и записи, в которых упоминались crscs.exe, sound.exe.
Почистила файл hosts.
Но, видимо, это еще не конец, т.к.:
1. Браузер не открывает сайты kaspersky, virusinfo и т.п. , хотя файл hosts пустой.
2. Не показывает скрытые файлы и папки.
3. Сканирование gmer показывает подозрительные сервисы
Service system32\drivers\SKYNETipfvmpcf.sys (*** hidden *** ) [SYSTEM] SKYNETfqbfoawv <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** )
(лог прилагаю).
4. Windows при загрузке пишет, что не найден sound.exe.
Помогите, пожалуйста, окончательно избавиться от вирусов.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ не удается удалить или поместить в карантин указанные файлы, кроме одного, выдает следующее. Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\SKYNETipfvmpcf.sys) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\SKYNETipfvmpcf.sys) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETmhlwhxnb.dll) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETmhlwhxnb.dll) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETnwawkrvk.dat) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETnwawkrvk.dat) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETjiqsxobp.dll) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETjiqsxobp.dll) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETxnmvonyr.dat) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETxnmvonyr.dat) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETwsp.dll) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SKYNETwsp.dll) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\qsuszum.dll) Карантин с использованием прямого чтения - ОК Файл успешно помещен в карантин (C:\WINDOWS\system32\qsuszum.dll) Выполнен карантин файла C:\WINDOWS\system32\qsuszum.dll Удаление файла:C:\WINDOWS\system32\qsuszum.dll >>>Для удаления файла C:\WINDOWS\system32\qsuszum.dll необходима перезагрузка Удаление файла:C:\WINDOWS\system32\drivers\SKYNETipfvmpcf.s ys >>>Для удаления файла C:\WINDOWS\system32\drivers\SKYNETipfvmpcf.sys необходима перезагрузка Удаление файла:C:\WINDOWS\system32\ SKYNET*.*
После выполнения в AVZ того же скрипта с перезагрузкой SKYNET и его миньоны не удалились (только qsuszum был помещен в карантин), и gmer по-прежнему регистрировал их активность, более того, после каждой перезагрузки количество плохих сервисов, связанных с ними, росло (лог gmer прилагаю).
Можно ли прислать карантин без пароля (дома я его заархивировала без пароля, а когда на работе пытаюсь распаковать и заархивировать снова, но уже с паролем, антивирус удаляет его)?
Заранее спасибо.
Последний раз редактировалось Alhen; 16.08.2009 в 17:15.
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл ko9vlre0.exe (замаскированный gmer.exe ) под именем 123.bat и запустите.
После перезагрузки повторите логи по правилам + gmer.
Уважаемый(ая) Alhen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: