-
Junior Member
- Вес репутации
- 53
Помогите управиться с Trojan Winlock
Недавно в моем компьютере поселился вирус который блокирует программы и требует отправить смс на номер 4460. Компьютером пользуюсь не только я, поэтому как он проник сказать не могу.
Вобщем неделю назад я с помощью одной из тем данного форума подобрал код и разблокировал винду. Затем просканировал все Авирой, которая нашла около 30 зараженных файлов. К сожалению карантин тот я потер, поэтом что там было не помню.
После это компьютер вроде работал, но как то странно. Например отказывает в доступе к некоторым папкам, в частности System Volume Information. Может я туплю и раньше тоже доступа не было, но на работе вроде эта папка открывается. Разобраться со всем досканально времени не было, я отложил все на выходные, тем более, что компьютер вроде работал, проги ставить/удалять можно было интернет, игры - все доступно.
И вот вчера опять появился баннер с просьбой отправить смс на номер 4460. За компом в это время как и в первый раз был брат, поэтому как эта штука возникала изначально сказать не могу. Когда я добрался до компа она появлялась при попытке запустить оперу.
С помощью сайта Др.Вэб я подобрал код, разблокировал винду. Запустил опять Авиру, она почти ничего не нашла. Потом по вашим инструкциям запустил CureIt, он нашел около 30 инфицированных файлов в Documents and settings, Windows/system32 и Windows/temp. Заразу определил как Trojan.Winlock и удалил.
В данный момент комп вроде функционирует, но я боюсь что он полностью не излечился от этой заразы. Посмотрите пожалуйста, что с ним.
Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
профиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
BC_DeleteSvc('PowerManager');
QuarantineFile('C:\Driver\Files\DT.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать логи.
Загрузить карантин по Правилам.
Пароли от банковских дел, скорее всего, ушли на строну.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
вот. надеюсь правильно все загрузил.
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-