Junior Member
Вес репутации
54
Trojan-Ransom.Win32.SMSer.rl
Подхватили эту заразу. Теперь требует получить ключ для винды по смс. В безопасном режиме запустился, провел чистку AVPTool'ом. Но что дальше? Ведь диагностику HJT и AVZ нужно проводить не в безопасном режиме, а меня злой вирус туда не пускает. Как быть?
Последний раз редактировалось illuzion; 30.11.2009 в 07:52 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сделайте логи в безопасном режиме.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
54
Удалось-таки запуститься в обычном режиме.
Логи прилагаются.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7042795328-2185305682-926418702-8842\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7042795328-2185305682-926418702-8842\mwau.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','UpdateCheck');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (по возможности в нормальном режиме)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Карантин отправил.
Логи прилагаются.
Вложения
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-7042795328-2185305682-926418702-8842\mwau.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','UpdateCheck');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + сделайте лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
При загрузке карантина говорит "Данный файл уже был загружен".
Все нужные логи сделал.
Вложения
Удалите в mbam
Код:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Сделаете новый лог mbam
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-7042795328-2185305682-926418702-8842\mwau.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-7042795328-2185305682-926418702-8842\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Junior Member
Вес репутации
54
А оставшиеся три строки в mbam не надо было удалять?
А вообще все выполнил. Сделал новые логи.
Вложения
Удалите в МВАМ
Код:
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7042795328-2185305682-926418702-8842\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7042795328-2185305682-926418702-8842\mwau.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
RegKeyParam-Del('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','UpdateCheck');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Сообщение от
thyrex
RegKeyParam-Del('HKEY_LOCAL_MACHINE','Software\Microsoft\Windo ws\CurrentVersion\ShellServiceObjectDelayLoad','Up dateCheck');
Изменил на RegKeyParamDel. Правильно ведь?
Сделал логи.
Junior Member
Вес репутации
54
Вдогонку отправил карантин.
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\RECYCLER\S-1-5-21-7042795328-2185305682-926418702-8842\mwau.exe,explorer.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7042795328-2185305682-926418702-8842\mwau.exe');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Выполнено. Новый лог syscheck прилагаю.
Вложения
Junior Member
Вес репутации
54
thyrex , snifer67 , спасибо вам огромное за помощь!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 9 В ходе лечения обнаружены вредоносные программы:
c:\recycler\s-1-5-21-7042795328-2185305682-926418702-8842\mwau.exe - P2P-Worm.Win32.Palevo.kgl ( DrWEB: Trojan.Packed.688, AVAST4: Win32:Malware-gen )