-
Junior Member
- Вес репутации
- 51
баннер тел 3381 текст M201717572
Поймал баннер (с тётенькой по бокам ) телефон 3381 текст M201717572, ключи пробовал - не помогали (баннер исчезал, потом при запуске CureIt - снова появлялся).
AVZ не запускался - сразу происходила перезагрузка.
С помощью HijackThis обнаружил файл C:\windows\system32\dllcache\c_28593.nls
прописанный в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
снёс файл , проверил все Kasperskim LiveCD - он чего-то нашёл и удалил из папки Автозагрузка. Потом загрузился в безопасном режиме - запустился CureIt - нашёл и удалил Winlock в одной из dll в system32\, потом он завис.
Загрузился в нормальном режиме - заработал AVZ - логи прилагаются.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\NewDotNet\newdotnet7_22.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('WMPNetworkSvc.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\NewDotNet\newdotnet7_22.dll');
AutoFixSPI;
ExecuteRepair(17);
ExecuteRepair(11);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи + такой http://www.gmer.net/
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Скажите, пожалуйста, карантин дошёл? я его правильно залил?
логи скоро будут - AVZ трудится.
-
Дошел.
И это не забудьте
Сообщение от
thyrex
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\nzxrrur.dll
c:\windows\system32\lop.dll
c:\windows\system32\rsqspxsh.dll
c:\windows\system32\dd.dll
c:\documents and settings\NetworkService\Application Data\dzipsb.dat
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сделал: в ходе работы combofix перезагрузил комп, выдал после загрузки системы ошибку файла pev.cfxxe, потом продолжил проверку.
Нужны ли логи от AVZ и hijackthis?
-
Выписываем из лазарета
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Всё хорошо, только почта не пропускает карантинную директорию, хоть она и запакована... Как можно отправить, чтобы доходило?
-
Выложите на файлообменник, а ссылку отправьте мне на e-mail
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Залил на Народ. Ссылку отправил.
Спасибо Вам ещё раз.
-
Junior Member
- Вес репутации
- 51
А тему-то, наверное, закрыть можно? [Излечено]?
или я чего-то упустил?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\help\sounds.chm:dnwyjxgiiao:$data - Trojan-Ransom.Win32.XBlocker.acx ( DrWEB: Trojan.AdultBan.25, AVAST4: Win32:Rootkit-gen [Rtk] )
-