-
Junior Member
- Вес репутации
- 52
Последствия для системы вируса winlock
Здравствуйте)
Не обошел и меня этот вирус. Окно на весь экран-просьба отправить смс. Нашла с другого компа на сайте код, ввела. Работает. Но не запускается диспетчер задач (не разрешено администратором пишет, а админ-я). Не запускался и редактор реестра, но после проверки cureit стал запускаться. В реестре disabletaskmngr (вроде такое название) значение - 0. Проверяла нодом, avz, avptool, dr.web cure it (только он нашел 2 вируса и удалил). Настройка групповой политики не запускается (система vista home). При проверке wintools.net найдено больше гига темповых (и не только таких) файлов, которые удалены теперь.
Логи прилагаются)
Заранее спасибо.
ps не уверена в названии сего чуда)) мб у вируса другое название. прошу извинить, если не так написала
Последний раз редактировалось SimplyMary; 05.02.2010 в 17:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O2 - BHO: Super-Search - search like an expert - {B88F0A3B-663C-4342-A7CE-2D6F81032897} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - (no file)
O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O4 - Startup: PowerReg Scheduler.exe
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%USERPROFILE%\Start Menu\Programs\Startup\PowerReg Scheduler.exe','');
QuarantineFile('%USERPROFILE%\Главное меню\Программы\Автозагрузка\PowerReg Scheduler.exe','');
QuarantineFile('C:\Windows\system32\DRIVERS\usbser_lowerflt.sys','');
QuarantineFile('C:\Windows\System32\csrss.exe','');
DeleteFile('%USERPROFILE%\Start Menu\Programs\Startup\PowerReg Scheduler.exe');
DeleteFile('%USERPROFILE%\Главное меню\Программы\Автозагрузка\PowerReg Scheduler.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 52
Спасибо большое, что откликнулись)
Скрипт выполнен, пофиксено в hijackthis. Диспетчер запускается.Вроде всё работает))
Но есть несколько странных моментов.
1. После новой проверки hijackthis обнаружил опять же "доступ к платному контенту..." FieryAds, но уже версии 2. Делать ничего с ним не буду, без вашего разрешения))
2. До выполнения скрипта в avz, я решила еще раз проверить cureit'ом.(проверяла вчера,часиков в 6, когда еще не было ответа на мою просьбу)) он опять два вируса обнаружил и удалил их. потом я остановила проверку и у меня вылез синий экран злосчастный и комп перезагрузился Так у меня было пару раз и cureit я пока не проверяю))
Карантин сейчас отошлю. Логи новые прилагаю)
-
Junior Member
- Вес репутации
- 52
ммм, так мне больше никто и не ответит?(
-
Сделайте логи из нормального режима, а не из безопасного.
-
-
Junior Member
- Вес репутации
- 52
хорошо. извините, что сразу не так сделала. новые логи.
-
Все действия выполнять с правами администратора!
В Vista запуск приложения по правой кнопке мыши - запустить от имени администратора.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O4 - HKCU\..\Run: [csrss] C:\Windows\System32\csrss.exe
O9 - Extra button: Выберите эмоцию, которую Вы хотите сейчас испытать - {DAC5944B-F843-4b90-B605-09DE3360CDE6} - C:\Program Files\MarketGid\EmotionsBar\IeEmotionBarComServer.dll (file missing)
O4 - HKCU\..\Run: [csrss] C:\Windows\System32\csrss.exe
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Windows\System32\netprotocol.dll','');
DeleteFile('C:\Windows\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
QuarantineFile('C:\Windows\System32\csrss.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите
-
-
Junior Member
- Вес репутации
- 52
карантин отослала. все проги от имени админа по правому щелчку всегда запускались и сейчас тоже)
новые логи)
-
Один вопрос - защитное ПО выгружали при работе с AVZ?
Ничего плохого не обнаружил. Обновите Internet Explorer, java, adobe reader.
Проблема решена?
-
-
Junior Member
- Вес репутации
- 52
да, выгружала. куда ж без этого. спасибо большое!
обязательно обновлю.
благодарю за помощь!проблема решена)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
-