Trojan.winlock.302

**howsteve** · 08.11.2009, 18:25

Здравствуйте. Подхватил троян с просьбой послать смс за лицензионный ключ Windows, при запуске Windows запускается и не дает ничего сделать. Запускался в безопасном режиме и проверял систему Кьюритом, трояны он находил и успешно удалял, но это, к сожалению, не помогло. Прошу помочь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Никита Соловьев** · 08.11.2009, 18:33

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\Winupdate\update.exe','');
 DeleteFile('C:\Program Files\Winupdate\update.exe');
 DeleteFileMask('C:\Program Files\Winupdate','*.*',true);
 DeleteDirectory('C:\Program Files\Winupdate');
 DelCLSID('{CDA489F2-BB1B-37D8-4F3D-3BDCB7DE0B2B}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

Сделайте новые логи + лог GMER

**howsteve** · 08.11.2009, 19:18

Выполнил

**Никита Соловьев** · 08.11.2009, 19:23

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 1jl14p8r.exe (gmer)

Код:

1jl14p8r.exe -del service xfkfyzi
1jl14p8r.exe -del service yldsz
1jl14p8r.exe -del file "C:\WINDOWS\system32\yysaxb.dll"
1jl14p8r.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xfkfyzi"
1jl14p8r.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yldsz"
1jl14p8r.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xfkfyzi"
1jl14p8r.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yldsz"
1jl14p8r.exe -reboot

И запустите cleanup.bat.

Компьютер перезагрузится

Сделайте новый лог gmer

**howsteve** · 08.11.2009, 19:55

Сделано. После запуска cleanup.bat выскачило несколько ошибок (вроде "не удается найти указанный модуль"), но какие-то процессы шли и компьютер перезагрузился

**Никита Соловьев** · 08.11.2009, 19:56

После запуска cleanup.bat выскачило несколько ошибок

Это нормально

В логе чисто. Проблема решена?

**howsteve** · 08.11.2009, 20:01

К сожалению,нет.

**Никита Соловьев** · 08.11.2009, 20:08

Какие проблемы наблюдаются?

**howsteve** · 08.11.2009, 20:23

Всё так же при запуске выскакивает оено с просьбой выслать смс. "1.у меня это гребаное окошко открывалось буквально через 5 секунд после загрузки винды - т.е. нужно очень быстро нажать ctrl-alt-del и отключить из процессов explorer.exe - все вирусня не подгружается и можно спокойно танцевать с бубном." (С) затем снова запускал процесс explorer, загружается рабочий стол и можно дальше продолжать работать, причем всё работает без тормозов. Так и выполнял все действия.

**Никита Соловьев** · 08.11.2009, 20:26

Я вот этого не заметил сразу:

Система загружена в режиме защиты от сбоев (SafeMode)

Сделайте логи в нормальном режиме

**howsteve** · 08.11.2009, 20:29

Нужно ли при проверке отключать интернет?

**Никита Соловьев** · 08.11.2009, 20:34

Если есть возможность - лучше отключить + выгрузите/закройте все программы кроме IE

**howsteve** · 08.11.2009, 21:23

Вот новые логи.

**Никита Соловьев** · 08.11.2009, 21:30

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\mfo.exe','');
 DeleteFile('C:\WINDOWS\mfo.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mfo.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин

Сделайте новые логи

**howsteve** · 08.11.2009, 21:47

Проблема решена, компьютер загружается нормально и больше деньги не вымогает

Venus Doom, ОГРОМНОЕ Вам спасибо за потраченое на решение моей проблемы время!
дальше присылать логи, я думаю, не нужно?

**Никита Соловьев** · 08.11.2009, 21:51

Нужно, нужно проверить, все ли удалилось

**howsteve** · 08.11.2009, 22:05

Вот

**Никита Соловьев** · 08.11.2009, 22:09

Чисто

**howsteve** · 08.11.2009, 22:10

Еще раз спасибо!

**CyberHelper** · 09.11.2009, 22:10

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\mfo.exe - Trojan-Ransom.Win32.SMSer.rw

Trojan.winlock.302 (заявка № 59627)

Опции темы

Trojan.winlock.302

Итог лечения

Похожие темы

Сильное заражение системы Pogram.Server.260, Trojan.SMSSend.275, Trojan.SMSSend.310, Trojan.Winlock.2741

Trojan.WinLock.1477 и Trojan.Oficla.38

Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)

Trojan.Packed.16886 и Trojan.WinLock

Вирусные аналитики: Все о Trojan.Encoder и Trojan.Winlock

Метки для этой темы

Ваши права в разделе