-
Junior Member
- Вес репутации
- 53
смс-разбой
Здравствуйте, атакуют шантажисты с требованием заплатить по смс. Аж два баннера перекрыли рабочий стол. При этом оказались заблокированы диспетчер задач, интернет, ехе-шные файлы и безопасный режим. Удалось пофиксить с помощью hijackthis, кое-какие подозрительные файлы я отправил в карантин, после чего порнобаннер пропал и стало возможно грузить программы, но один баннер остался. Диспетчер задач, интернет и безопасный режим по-прежнему блокированы. С дури начал ставить Касперского, забыл, что интернета нет и не активируешь, блин. Выкладываю последний лог с hijackthis. Помогите, пжлст!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте, а логи AVZ сделать сможете?
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
-
-
Junior Member
- Вес репутации
- 53
hijackthis пофиксил. Выкладываю лог от avz
-
Это не тот лог, а нужны логи по правилам - virusinfo_syscheck.zip, virusinfo_syscure.zip + еще новый лог hijack'а сделайте
-
-
Junior Member
- Вес репутации
- 53
Пардон, выкладываю те, что нужно.
-
Обновите базы AVZ.
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\System32\Drivers\nacfndqm.SYS','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\DOCUME~1\ЕЛЕНА\LOCALS~1\Temp\cportclm.sys','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\DOCUME~1\ЕЛЕНА\LOCALS~1\Temp\cportclm.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\nacfndqm.SYS');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(13);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам.
-
-
Junior Member
- Вес репутации
- 53
баннер исчез, интернет заработал. карантин закачал. Выкладываю логи
-
Junior Member
- Вес репутации
- 53
DefesT, прошу ответить, как там с логами, которые я выложил ночью. Никаких скриптов avz больше не нужно?
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('F:\autorun.inf');
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Кирилл\Local Settings\Temp', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Обновите базы AVZ, cделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
скрипт выполнил, лог прилагаю
-
Базы AVZ так и не обновили
В логе чисто
Установите SP3 (может потребоваться активация) + все новые заплатки
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Огромное спасибо за помощь!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\nacfndqm.sys - Trojan-Ransom.Win32.Agent.hb ( DrWEB: Trojan.Winlock.495, NOD32: Win32/Sirefef.A trojan )
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.has ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2613831, AVAST4: Win32:Malware-gen )
-