-
Junior Member
- Вес репутации
- 53
Прошу помщи в лечении Trojan.winlock
Доброго времени суток, Уважаемые Дамы и Господа!
Прошу оказать помощь в лечении вируса Trojan.Winlock.302 (по классификации DR. Web). Симптомы следующие: при включении ПК всплывает окно с сообщением о нелицензионной версии Windows (используется SP2), при вводе пароля (13616) с сайта DR. Web сообщение временно исчезает (5-10 минут). Также эта "зараза" сбрасывает настройки рабочего стола. NOD 32 ver. 4 не видит ничего подозрительного, KAV 7.0 видит троянов (другого типа), лечит/удаляет, но после перезагрузки все повторяется по новой (базы антивирусов актуальны). Логи прилагаются.
Жду Вашей помощи, заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\stcevent.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2300292990-3203844478-223251711-4066\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2300292990-3203844478-223251711-4066\mwau.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2300292990-3203844478-223251711-4066\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2300292990-3203844478-223251711-4066\mwau.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_QrSvc('3964R');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
Повторите логи по правилам.
-
-
Junior Member
- Вес репутации
- 53
Карантин отправил, прошу сообщить о получении
Делаю новые логи
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнил, логи прилагаю.
Проблема вроде как решена.
Спасибо большое.
-
Порядок
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.2 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-