-
Junior Member
- Вес репутации
- 53
SMS вымогатель
Знакомые словили на ноуте SMS вымогатель. С помощью сервиса деактивации Касперского банер сняли, но не CureIt, не AVPtool ничего не нашли. Хотя признаки остаются: При загрузке устанавливается какая-то программа, нет доступа к диспетчеру задач.
Помогите вычистить заразу. Заранее благодарю.
Последний раз редактировалось tryndec; 25.04.2011 в 13:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пожалуйста, выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\Windows Media Player\wmprph.exe', 'CHQ=G');
QuarantineFile('progman.exe', 'CHQ=N');
QuarantineFile('rdpclip', 'CHQ=N');
QuarantineFile('C:\WindowsSystem32\IoLogMsg.dll', 'CHQ=N');
QuarantineFile('C:\Windows\system32\msiexec', 'CHQ=N');
QuarantineFile('C:\Windows\System32\Drivers\dump_dumpata.sys', 'CHQ=N');
QuarantineFile('C:\Windows\system32\DRIVERS\ipinip.sys', 'CHQ=N');
QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkflt.sys', 'CHQ=N');
QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkfwd.sys', 'CHQ=N');
QuarantineFile('C:\Windows\System32\Drivers\sprh.sys', 'CHQ=N');
QuarantineFile('c:\users\Дима\appdata\roaming\ljrqmvhq.exe', 'CHQ=N');
QuarantineFile('C:\Windows\System32\mswsock.dll', 'CHQ=G');
QuarantineFile('C:\Windows\System32\winrnr.dll', 'CHQ=G');
QuarantineFile('C:\Windows\system32\wshbth.dll', 'CHQ=G');
BC_QrFile('C:\WindowsSystem32\IoLogMsg.dll');
BC_QrFile('C:\Windows\system32\msiexec');
BC_QrFile('C:\Windows\System32\Drivers\dump_dumpata.sys');
BC_QrFile('C:\Windows\system32\DRIVERS\ipinip.sys');
BC_QrFile('C:\Windows\system32\DRIVERS\nwlnkflt.sys');
BC_QrFile('C:\Windows\system32\DRIVERS\nwlnkfwd.sys');
BC_QrFile('C:\Windows\System32\Drivers\sprh.sys');
BC_QrFile('c:\users\Дима\appdata\roaming\ljrqmvhq.exe');
BC_Activate;
RebootWindows(true);
end.
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean
-
-
Junior Member
- Вес репутации
- 53
Архив отправил
Добавлено через 7 часов 51 минуту
И как моя проблема?
Последний раз редактировалось tryndec; 22.02.2010 в 09:31.
Причина: Добавлено
-
c:\users\Дима\appdata\roaming--Вам знакома эта папка?
Сделайте лог Hijack-- не перезагружайте ПК!
-
-
Junior Member
- Вес репутации
- 53
Папка не знакома.
Вот логи
Последний раз редактировалось tryndec; 25.04.2011 в 13:51.
-
Если включено восстановление системы--выключите! Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\users\Дима\appdata\roaming\nqsgmjos.exe','');
TerminateProcessByName('c:\users\Дима\appdata\roaming\nqsgmjos.exe');
DeleteFile('c:\users\Дима\appdata\roaming\nqsgmjos.exe');
DeleteFilemask('c:\users\Дима\appdata\roaming','*.*',true);
DeleteDirectory('c:\users\Дима\appdata\roaming');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');
BC_ImportAll;
ExecuteSysClean;
Executerepair(11);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
Карантин выслал.
Вот новые логи
Последний раз редактировалось tryndec; 25.04.2011 в 13:51.
-
В логах чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-