Сегодня на одном из сайтов новостных про футбол подхватил вот такую заразу, окошко с просьбой отправить СМС и получить код активации... Проверил Dr.Web, нашел Trojan.Winlock, но окошко с СМС не пропало. Помогите.
Сегодня на одном из сайтов новостных про футбол подхватил вот такую заразу, окошко с просьбой отправить СМС и получить код активации... Проверил Dr.Web, нашел Trojan.Winlock, но окошко с СМС не пропало. Помогите.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteWizard('TSW', 2, 2, true); QuarantineFile('C:\WINDOWS\dmgr134.sys',''); QuarantineFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll',''); DeleteFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll'); DeleteFile('C:\WINDOWS\dmgr134.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Читайте: http://virusinfo.info/showpost.php?p=386579&postcount=1
Сделал все как написано, окно с СМС пропало. Карантин выслал, проверку тоже прикрепил.
Выполните скрипт в AVZ:
После перезагрузки сделайте новый лог по п.2 Диагностики и прикрепите файл fystemRoot.log из папки с AVZ.Код:var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); RebootWindows(false); end.
I am not young enough to know everything...
А если я реестр вручную поправил, изменил fYSTEM на SYSTEM, как было написано в теме %fystemroot% или "Где мой Windows Update?", надо мне выполнять этот скрипт или нет?
Как раз сегодня статья была дополнена. В процедуре ручной правки добавлен еще один пункт. Выполните его тоже, и скрипт можно не запускать.
I am not young enough to know everything...
Все выполнил, все работает отлично! Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\dmgr134.sys - Trojan-Ransom.Win32.Agent.ge ( DrWEB: Trojan.Winlock.366 )
- c:\windows\system32\{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3cb}.dll - Trojan-Ransom.Win32.Agent.gd ( DrWEB: Trojan.Winlock.366, BitDefender: Trojan.Generic.2615380, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Beautiful_Liar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.