Junior Member
Вес репутации
53
Windows Security Alert
Здравствуйте! Вы мне уже очень помогли вчера, опять проблема на другой машине. "На вашем компьютере обнаружена не лицензионная версия Windows!" Соответсвенно требуют отправить SMS, по классификации Dr.Web! это Trojan.Winlock.482. По их методу проблема не решается, через короткий промежуток баннер опять появляется. И что характерно если выдернуть сетевой кабель баннер не появляется, вставишь - опля.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\System Volume Information\_restore{64E91CFF-6AA1-491F-836C-22AC000ED436}\RP280\A0054800.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2106742319-4022998053-794537199-6862\yv8g67.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5310216647-2871544775-207274120-6453\sysdate.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5310216647-2871544775-207274120-6453\sysdate.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2106742319-4022998053-794537199-6862\yv8g67.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\System Volume Information\_restore{64E91CFF-6AA1-491F-836C-22AC000ED436}\RP280\A0054800.exe');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=64071
4. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
53
Здравствуйте! Извиняюсь, но вчера уже небыло возможности ещё поработать ). Карантин отправил, логи отправляю. Благодарю за терпение.
Вложения
Junior Member
Вес репутации
53
Объясните, зачем Вы паролите логи AVZ???
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wallmsp.exe','');
QuarantineFile('C:\WINDOWS\system32\dgcbkm.exe','');
QuarantineFile('C:\WINDOWS\system32\oissdmmp.exe','');
QuarantineFile('C:\WINDOWS\system32\ssmcdsw.exe','');
DeleteFile('C:\WINDOWS\system32\ssmcdsw.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qscmdll');
DeleteFile('C:\WINDOWS\system32\oissdmmp.exe');
DeleteFile('C:\WINDOWS\system32\dgcbkm.exe');
DeleteFile('C:\WINDOWS\system32\wallmsp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Пароль касается только карантина? Хорошо )))
Карантин выслал, логи вложил.
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\user-2\Мои документы\lj1010seriesprintsys\Temp\hpjsira.exe','');
DeleteFile('C:\Documents and Settings\user-2\Мои документы\lj1010seriesprintsys\Temp\hpjsira.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Junior Member
Вес репутации
53
Карантин отправлен, логи вставлены
Junior Member
Вес репутации
53
А что с проблемами, жду вашего вердикта
Ничего зловредного в логах не увидела.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
53
Т.е. всё? Огромное спасибо! Завтра погоняю. Ещё один вопрос, если именно такая фигня и на этой машине повторится, подойдёт весь тот алгоритм описанный выше, или всё таки есть тонкости? Ещё раз спасибо и удачи во всех ваших делах.
Сообщение от
RockMAX
если именно такая фигня и на этой машине повторится, подойдёт весь тот алгоритм описанный выше, или всё таки есть тонкости?
А с чего бы ей повторится? Завтра отпишитесь для того, чтобы можно было закрыть тему.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
53
Здравствуйте! В выходные сам гонял, в понедельник виновник )), всё отлично! Спасибо огромное и низкий поклон (без тени иронии). С Наступющим вас Новым годом! Здоровья, счастья и много казначейских бумажек большого достоинства!!!
Тут засела одна крамольная мыслишка, что если Microsoft как то причастна к этому беспределу, надо же как то людей от хрюши отлучать ))).
Ещё раз спасибо и удачи вам.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 16 В ходе лечения обнаружены вредоносные программы:
c:\recycler\s-1-5-21-2106742319-4022998053-794537199-6862\yv8g67.exe - P2P-Worm.Win32.Palevo.lrs ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Backdoor.Sdbot.DGDK, AVAST4: Win32:Rootkit-gen [Rtk] ) c:\recycler\s-1-5-21-5310216647-2871544775-207274120-6453\sysdate.exe - P2P-Worm.Win32.Palevo.jos ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Generic.2493443, NOD32: Win32/Agent.QBW trojan, AVAST4: Win32:MalOb-U [Cryp] ) c:\windows\system32\dgcbkm.exe - Trojan.Win32.Scar.ayoi ( DrWEB: Trojan.Siggen.38866, BitDefender: Trojan.Generic.2900194, AVAST4: Win32:Malware-gen ) c:\windows\system32\oissdmmp.exe - Trojan.Win32.Scar.ayoc ( DrWEB: Trojan.Siggen.38866, BitDefender: Trojan.Generic.2920485, AVAST4: Win32:Malware-gen ) c:\windows\system32\ssmcdsw.exe - Trojan.Win32.Scar.ayob ( DrWEB: Trojan.Siggen.38866, BitDefender: Trojan.Generic.2920671, AVAST4: Win32:Malware-gen ) c:\windows\system32\wallmsp.exe - Trojan.Win32.Scar.ayoj ( DrWEB: Trojan.Siggen.38866, AVAST4: Win32:Malware-gen )