Опять подхватил вымогателя, банер на весь рабочий стол, логи делал под другим пользователем!
Опять подхватил вымогателя, банер на весь рабочий стол, логи делал под другим пользователем!
Последний раз редактировалось Lexxicon; 07.06.2010 в 16:58.
Вымогателя разблокировал с помощью http://support.kaspersky.ru/viruses/deblocker
Но есть подозрение, что в системе он остался. Есть ли необходимость выложить заново логи с пользователя где был вымогатель?
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\all users\systems.exe'); QuarantineFile('C:\Shlron\Osbourne\MinuTa.exe',''); QuarantineFile('C:\AhKreT\ena\BeyBi.exe',''); QuarantineFile('C:\Early\life\UpDaTe.exe',''); QuarantineFile('C:\WINDOWS\system32\02.tmp',''); QuarantineFile('C:\WINDOWS\system32\08.tmp',''); QuarantineFile('C:\WINDOWS\system32\06.tmp',''); QuarantineFile('c:\documents and settings\all users\systems.exe',''); DeleteFile('c:\documents and settings\all users\systems.exe'); DeleteFile('C:\WINDOWS\system32\08.tmp'); DeleteFile('C:\WINDOWS\system32\02.tmp'); DeleteFile('C:\WINDOWS\system32\06.tmp'); DeleteFile('C:\Early\life\UpDaTe.exe'); DeleteFile('C:\AhKreT\ena\BeyBi.exe'); DeleteFile('C:\Shlron\Osbourne\MinuTa.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1292428093-725345543-100241173-1004\Software\Microsoft\Windows\CurrentVersion\Run','Shell'); DelCLSID('{LKWJSL0-GH0P-IYRP-NYMA-NJKFAHNCR}'); DelCLSID('{89B4C1CD-B018-4511-B0A1-5476DBF70820}'); DelCLSID('{67WNC6Z0-4F0Z-A1RP-4FMB-F4CXM36D9RQ}'); DeleteService('znaawuol'); DeleteService('xecyldv'); DeleteService('skiztnbk'); DeleteService('rrrsiz'); DeleteService('rpqie'); DeleteService('nvxlo'); DeleteService('faolrg'); DeleteService('dzfwijbv'); DeleteService('ankodrzbv'); DeleteService('btbpg'); DeleteFileMask('C:\Early', '*.*', true); DeleteDirectory('C:\Early'); DeleteFileMask('C:\AhKreT', '*.*', true); DeleteDirectory('C:\AhKreT'); DeleteFileMask('C:\Shlron', '*.*', true); DeleteDirectory('C:\Shlron'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин выслал!
Последний раз редактировалось Lexxicon; 07.06.2010 в 16:58.
Логи выложили старые
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 1k48fwtw.exe (gmer)
И запустите cleanup.bat.Код:1k48fwtw.exe -del service rrplrg 1k48fwtw.exe -del file "C:\WINDOWS\system32\tqplg.dll" 1k48fwtw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rrplrg" 1k48fwtw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rrplrg" 1k48fwtw.exe -reboot
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\ahkret\ena\beybi.exe - Trojan.Win32.VB.aegi ( DrWEB: Trojan.Packed.19979, AVAST4: Win32:Malware-gen )
- c:\early\life\update.exe - Trojan-Dropper.Win32.VB.amqt ( DrWEB: Trojan.MulDrop1.14073, AVAST4: Win32:Malware-gen )
- c:\shlron\osbourne\minuta.exe - Trojan.Win32.VB.aegg ( DrWEB: Trojan.Packed.19978, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Lexxicon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.