-
Junior Member
- Вес репутации
- 53
Вымогатель 1101042 на 5121
Добрый день, порно вымогатель вымогает.
согласно правил пытаюсь собрать логи, но AVZ до скриптом не доходит а HijackThis и устанавливатся отказывается.
ко всему в безопасном режиме он еще и грузится отказывается.
ps увы это бук
паникер, оказавается 15 минут это нормальное время для загрузки.
Последний раз редактировалось Petrov_kamensk; 07.05.2010 в 11:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
сервис касперского и вирусинфо не помог, про веб незнал, Спасибо,
но пока упорно под безопасным режимом сканю систему для получения логов.
флешка на которой перетаскивался AVZ оказалось зараженной Trojan-GameThief.Win32.OnLineGames
Добавлено через 1 час 36 минут
Блин не могу сделать скрипты, под безопасным режимом по половине сканирования сбой системы и презегрузка через 60 сек
если просто запускать то банер по центру не прозрачный, окно выбора скриптов тоже в цетре и не развернуть ни переместить, те не получается выбрать скрипт пока этот банер висит.
что делать ?
Последний раз редактировалось Petrov_kamensk; 07.05.2010 в 15:41.
Причина: Добавлено
-
Попробуйте так
Нажмите на клавиатуре сочетание клавишь WIN + U (Win - клавиша с логотипом Windows), далее выберите Экранную Лупу-Запустить. Откроется окно, в нем нажмите в середине ссылку "Веб-узел Microsoft" - выберите Браузер - Файл- Открыть - Обзор. Далее идите к диску (флешке) с папкой программы avz.
-
-
Junior Member
- Вес репутации
- 53
и так я вновь на работе и передомной этот бук.
банера нету, что сильно упростило жизнь.
-
ОБновите базы AVZ!!!
Отключите восстановление системы
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\M4nnKDf.exe,\\?\globalroot\systemroot\system32\KQ8cBB8.exe,
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\vf\application data\netprotocol.exe');
QuarantineFile('C:\DOCUME~1\vf\LOCALS~1\Temp\esp7DEE.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\M4nnKDf.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\KQ8cBB8.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\Documents and Settings\vf\Главное меню\Программы\Автозагрузка\sysfbm32.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
QuarantineFile('c:\documents and settings\vf\application data\netprotocol.exe','');
SetServiceStart('Netprotocol', 4);
DeleteService('dertyhjuishwkyozde');
DeleteService('Netprotocol');
DeleteFile('c:\documents and settings\vf\application data\netprotocol.exe');
DeleteFile('C:\WINDOWS\system32\srnh.lto');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\Documents and Settings\vf\Главное меню\Программы\Автозагрузка\sysfbm32.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('\\?\globalroot\systemroot\system32\KQ8cBB8.exe');
DeleteFile('\\?\globalroot\systemroot\system32\M4nnKDf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
-
-
Дополнительно к совету DefesT
Выполните скрипт в AVZ:
Код:
begin
RegSearch('HKLM', '', 'esp7DEE.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
end.
Прикрепите лог avz.log из папки AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
скрипты выполнял под AVZ4.30, повторное сканирование под свежим после обновления баз.
-
Выполните скрипт в AVZ
Код:
begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\218F03D3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\218F03D3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\218F03D3');
DeleteFile('C:\DOCUME~1\vf\LOCALS~1\Temp\esp7DEE.tmp');
QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\Program Files\WinAntiVirus Pro 2007\iefwbho.dll','');
QuarantineFile('C:\Program Files\WinAntiVirus Pro 2007\winpgi.dll','');
QuarantineFile('C:\Program Files\Common Files\WinAntiVirus Pro 2007\wa7pcw.exe','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Давно у вас этот лжеантивирус?
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\Program Files\WinAntiVirus Pro 2007\iefwbho.dll');
DeleteFile('C:\Program Files\WinAntiVirus Pro 2007\winpgi.dll');
DeleteFile('C:\Program Files\Common Files\WinAntiVirus Pro 2007\wa7pcw.exe');
DeleteFileMask('C:\Program Files\WinAntiVirus Pro 2007', '*.*', true);
DeleteDirectory('C:\Program Files\WinAntiVirus Pro 2007');
DeleteFileMask('C:\Program Files\Common Files\WinAntiVirus Pro 2007', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\WinAntiVirus Pro 2007');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Если проблема решена, повторных логов не нужно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
бук не мой но подозреваю что если у него в названии 2007, то значит явно не 2008-2010
осканировался еще раз, AZV сказал еще про одну угрозу.
логи всеже положу.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{B5141620-C2B2-4D95-9F0F-134D99C87AB0}');
DelBHO('{2178F3FB-2560-458F-BDEE-631E2FE0DFE4}');
DeleteFile('C:\Program Files\Common Files\DriveCleaner Free\dcsm.exe');
DeleteFileMask('C:\Program Files\Common Files\DriveCleaner Free', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\DriveCleaner Free');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
на это раз кажется что все.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо, thyrex за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\drivecleaner free\dcsm.exe - not-a-virus:Downloader.Win32.WinFixer.x ( DrWEB: Trojan.DownLoader.32655, BitDefender: Trojan.Downloader.WinFixer.X, NOD32: Win32/Adware.WinFixer application )
- c:\program files\common files\winantivirus pro 2007\wa7pcw.exe - not-a-virus:Downloader.Win32.WinFixer.gv ( DrWEB: Adware.Dmad.99, BitDefender: Adware.Winantivirus.Q, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\netprotocol.dll - Backdoor.Win32.Buterat.jj ( DrWEB: Trojan.Click1.1832 )
-