-
Junior Member
- Вес репутации
- 52
Помогите устронить последствия Winlock.938
Добрый день.
Несколько дней назад поймал Winlock.938
Скрывалось сие чудо под видом банально всем известного окна, Internet security, и соответственно гениальным предложением отправить смс на номер 4460 с текстом **** (к сожалению не помню). Вирусы я ловлю далеко не часто и про винлоки практически ничего не слышал. Естественно, ни одно антивирусное ПО не заработало (установленный каспер 2009 при запуске системы не стартанул), заблокировался реестр и диспетчер задач. В папке C:\windows\temp упал dll файл, имя его, который выдавал ошибку при запуске любого приложения. Меры по устранению решил принимать с попытки загрузки безопасного режима, но кроме БСОД’ов ничего не получил. Тогда с неинфицированной машины скачал самую свежую версию CureIT и загрузился с LiveCD, далее запустил быстрое сканирование, тут то и был обноружен Winlock.938, тело вируса было удалено. Перезагрузился, окно вируса не беспокоило. Запустил полную проверку на ночь и лег спать. К сожалению на утро машину не смог вывести из спящего режима, выключил с кнопки. Уже вечером запустил повторное сканирование которое уже показало что система чиста. Все бы хорошо но остались последствия, диспетчер задач и реестр удалось разблокировать, каспер до сих пор не удается запустить (при запуске появляется сообщение: Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения). Да и еще при запуске система стала долго грузиться… Помогите устранить последствия.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 52
Да еще забыл один грешок, до попадания на этот форум выполнял скрипт лечения в Virus Removal Tool следующего содержания:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Inf\wdma_es3.inf:dhV4LA');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
ExecuteRepair(17);
ExecuteRepair(11);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Не помогло…
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\WINDOWS\TEMP\mnyvbv.dll','');
DeleteFile('C:\WINDOWS\TEMP\mnyvbv.dll');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\TEMP\mnyvbv.dll', ''), ',,', ','));
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки.
Сделайте новые логи по правилам - virusinfo_syscheck.zip и hijackthis.log
O17 - HKLM\System\CCS\Services\Tcpip\..\{275D6DBD-687D-4325-9EBA-B7D505351219}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5677B49-5B21-4ADC-AFF5-145EE2B19EE8}: NameServer = 217.20.80.40 212.96.192.1
- Ваши айпишники?
-
-
Junior Member
- Вес репутации
- 52
В хайджеке профиксил, скрипт лечения выполнил. После первой перезагрузки вылетел с ошибкой winlogon, и BSOD не стандартный. Перезагрузился еще раз и все ок, каспер стартанул, в моем компьютере появилась вкладка восстановления системы. Каспер обнаружил вирус Packed.Win32.Krap.w в папках temp и system32. Базы обновил, на ночь полную проверку поставил. Насчет ip 192.168.1.1 – на этом адресе модем DSL сидит. А второй на мой непохож, у меня обычно ip адреса такого диапазона: 188.17.*.*
94.50-54.*.*
Повторные логи выкладываю.
З.Ы.система все также долго грузится после появления рабочего стола, до поражения вирусом такого не было…
-
Junior Member
- Вес репутации
- 52
DefesT,скажите пожалуйста, повторные логи чистые?
За неделю после лечения работа системы нареканий не вызывает, все стабильно.
-
-
-
Junior Member
- Вес репутации
- 52
DefesT, большое спасибо за помощь!