-
Junior Member
- Вес репутации
- 54
последствия СМС вымогалки
Здравствуйте.
Пытаюсь разобраться сам но буду очень рад советам, и оказаной помощи.
Машина попала ко мне после лечения АВП Тулзами, причина лечения - смс порно информер была устранена, паралельно были удалены еще несколько троянов (ни логов ни фамилий зверей к сожалению у меня не оказалось)
На даный момент машина сильно тормозит при загрузке (думаю звери покопошились в асоциациях файлов), и в логах для меня все слишком сложно.
На даный момент АВП Тулз в защищенном режиме ничего не находит, думаю для начала проверить легитимность системных файлов
логи:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [systme] C:\WINDOWS\system32\4.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\pmsqdkj.sys','');
QuarantineFile('C:\Documents and Settings\Менеджер\Cookies\userlib.dll','');
QuarantineFile('C:\WINDOWS\system32\4.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke127.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke127.exe');
DeleteFile('C:\WINDOWS\system32\4.exe');
DeleteFile('C:\Documents and Settings\Менеджер\Cookies\userlib.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\pmsqdkj.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(14);
BC_DeleteSvc('Wyeke Service');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=65906).
Сделайте новые логи.
Сделайте дополнительно лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Странно но после скрипта АВЗ карантин пустой, ГМЕР нашел руткит, и при сохранении отчета подвис, сейчас переделаю отчеты и выложу
а файл QuarantineFile('C:\WINDOWS\system32\4.exe',''); и вручную ненахожу
-
+ к Bratez
1. Загрузитесь с LiveCD.
2. Скопируйте C:\WINDOWS\system32\Drivers\pmsqdkj.sys в другую папку, переименуйте его, а в исходном месте файл удалите.
3. Загрузитесь в нормальном режиме.
4. Отключите антивирус.
5. Запакуйте ранее скопированный файл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы.
6. Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Сделал новые логи АВЗ, файл отправил
после удаления отправленого файла система значительно ожила
Лог ГМЕРа так и не получился, виснет
-
Сообщение от
petr0v1ch
Лог ГМЕРа так и не получился, виснет
Он уже не нужен
Плохого не наблюдаю
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Большое человеческое спасибо.
думаю тему можна закрывать.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \voton.sys - Rootkit.Win32.Agent.aago ( DrWEB: Trojan.Packed.600, BitDefender: Trojan.Generic.2922807, AVAST4: Win32:Malware-gen )
-