При попытке войти в кошелек выдается ошибка. WMID и пароль ввожу верные.
При попытке войти в кошелек выдается ошибка. WMID и пароль ввожу верные.
Последний раз редактировалось automilin; 11.12.2009 в 22:59.
Пофиксите с помощью hijackthis:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):Код:O20 - AppInit_DLLs: C:\WINDOWS.0\system32\ielib32.dll
После выполнения скрипта компьютер перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS.0\system32\Winupdates\update.exe',''); QuarantineFile('C:\WINDOWS.0\systemroot\system32\ntfs_ext7.exe',''); QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS.0\system32\ielib32.dll',''); DeleteFile('C:\WINDOWS.0\system32\ielib32.dll'); DeleteFile('C:\WINDOWS.0\systemroot\system32\ntfs_ext7.exe'); DeleteFile('d:\81c1dff6a1f5db4d402c\wgasetup.exe'); DeleteFile('C:\WINDOWS.0\system32\Winupdates\update.exe'); DeleteFile('C:\WINDOWS.0\Installer\e5f4d.msi'); DeleteFileMask('d:\81c1dff6a1f5db4d402c','*.*',true); DeleteDirectory('d:\81c1dff6a1f5db4d402c'); DelCLSID('{4DF3D02A-E882-E652-1DA3-78EF0D8431A4}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "прислать запрошенный карантин" вверху темы. Сделайте новые логи
Про AVZ вроде понятно, а в hijackthis где вставлять код?
Вставлять не надо. Отметить указанную строку и нажать внизу Fix Checked.
I am not young enough to know everything...
Прошу прощения. Я в этом полный 0. Можно подробнее?
PS Вроде с hijackthis разобрался
Последний раз редактировалось automilin; 12.12.2009 в 09:44.
Логи сделал после quarantine.zip.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); QuarantineFile('C:\WINDOWS.0\system32\msvcrt57.dll',''); QuarantineFile('C:\WINDOWS.0\system32\adsldpcw.exe',''); QuarantineFile('C:\WINDOWS.0\system32\6to4svcu.exe',''); DeleteFile('C:\WINDOWS.0\system32\msvcrt57.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал
Меняйте пароли от платежных систем
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS.0\System32\drivers\svchost.e',''); QuarantineFile('C:\WINDOWS.0\system32\adsldpcw.exe',''); DeleteService('oseClipSrv'); QuarantineFile('C:\WINDOWS.0\system32\6to4svcu.exe',''); DeleteService('helpsvcAppMgmt'); DeleteFile('C:\WINDOWS.0\system32\6to4svcu.exe'); DeleteFile('C:\WINDOWS.0\system32\adsldpcw.exe'); DeleteFile('C:\WINDOWS.0\System32\drivers\svchost.e'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svhost'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за совет
Выполните скрипт в avz
ПК перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS'); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Карантина нет - список файлов для создания архива пуст.
Выполните скрипт в AVZ
Компьютер перезагрузитсяКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS'); QuarantineFile('%windir%\system32\sfcfiles.dll',''); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll'); DeleteFile('%windir%\system32\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\usrinit.exe
Компьютер перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS.0\system32\usrinit.exe',''); DeleteFile('C:\WINDOWS.0\system32\usrinit.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил, если будет не пуст.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Что с проблемами?
I am not young enough to know everything...
Сделал. Карантин пустой.
Проблема осталась. Инициализация со старым ключем тоже не проходит.
В логах ничего подозрительного больше нет.
У вас был троян, заточеный под воровство паролей WebMoney
(C:\WINDOWS.0\system32\msvcrt57.dll), так что видимо
пароль уже был изменен злоумышленником.
I am not young enough to know everything...
Спасибо.
Попробую связаться с WebMoney.
Добавлено через 5 часов 28 минут
Еще раз благодарю всех помощников.
Отправил запрос в WebMoney на восстановление контроля. Надеюсь, что все обойдется.
Тему, наверное, можно закрывать.
Последний раз редактировалось automilin; 14.12.2009 в 14:19. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\windows.0\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.na ( DrWEB: Trojan.PWS.Webmonier.186, BitDefender: Trojan.Generic.2859261, AVAST4: Win32:Malware-gen )
- c:\windows.0\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.416, AVAST4: Win32:Patched-KP [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) automilin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.