Смс-вымогатель был пролечен на другом компе, теперь бы подчистить хвосты, помогите, пожалуйста.
Зачистка после смс-вымогателя
Смс-вымогатель был пролечен на другом компе, теперь бы подчистить хвосты, помогите, пожалуйста.
Последний раз редактировалось localnetlock; 22.02.2010 в 03:16.
Рекомендации после лечения или 10 заповедей для здоровья компьютера
[URL]http://virusinfo.info/showthread.php?t=30339[/URL]
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:O4 - HKLM\..\Run: [lphcc69j0ejcr] C:\WINDOWS\system32\lphcc69j0ejcr.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) O23 - Service: Сервер lanmanserverIDriverT (lanmanserverIDriverT) - Unknown owner - C:\WINDOWS\ O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)
В AVZ выполните скрипт:
После перезагрузкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\lphcc69j0ejcr.exe',''); QuarantineFile('C:\WINDOWS\Fonts\REFSPCL.TTF:exrsJNZnxBM',''); QuarantineFile('C:\WINDOWS\system32\blphcc69j0ejcr.scr',''); DeleteService('Wincj06'); DeleteService('Wincj06'); DeleteService('Winqw62'); DeleteService('Winyg17'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg17.sys',''); QuarantineFile('Winqw62.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Wincj28.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Wincj06.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winqw62.sys',''); DeleteService('msupdate'); QuarantineFile('c:\windows\system32\mssrv32.exe',''); DeleteService('lanmanserverIDriverT'); BC_QrSvc('msupdate'); BC_QrSvc('lanmanserverIDriverT'); DeleteFile('c:\windows\system32\mssrv32.exe'); DeleteFile('C:\WINDOWS\System32\drivers\Wincj06.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Wincj28.sys'); DeleteFile('Winqw62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqw62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyg17.sys'); DeleteFile('C:\WINDOWS\system32\blphcc69j0ejcr.scr'); DeleteFile('C:\WINDOWS\system32\lphcc69j0ejcr.exe'); DeleteFile('C:\WINDOWS\Fonts\REFSPCL.TTF:exrsJNZnxBM'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lphcc69j0ejcr'); DeleteFile('WinCtrl32.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32','DLLName'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Wincj06'); BC_DeleteSvc('Winqw62'); BC_DeleteSvc('Winyg17'); BC_DeleteSvc('msupdate'); BC_DeleteSvc('lanmanserverIDriverT'); BC_Activate; ExecuteRepair(17); ExecuteRepair(11); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Fonts\REFSPCL.TTF:exrsJNZnxBM', ''), ',,', ',')); ExecuteWizard('TSW',3,3,true); RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новые логи.
Спасибо!
Последний раз редактировалось localnetlock; 22.02.2010 в 03:16.
Рекомендации после лечения или 10 заповедей для здоровья компьютера
[URL]http://virusinfo.info/showthread.php?t=30339[/URL]
Чисто в логах.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Большое Спасибо! тему можно закрывать)
Рекомендации после лечения или 10 заповедей для здоровья компьютера
[URL]http://virusinfo.info/showthread.php?t=30339[/URL]
Уважаемый(ая) localnetlock, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
