Логи после удаления SMS-порно вымогателя

**Teekei** · 21.05.2010, 12:35

Привет всем. Кому не сложно, посмотрите пожалуйста логи после удаления вируса. Некоторые вещи могу сам исправить, но хотелось бы более опытный взгляд.
Компьютер проверялся: NOD, Dr. Web CureIt!, AVZ. Каждый что-то нашёл, удалил. Правда AVZ ругается на несколько незаражённых файлов. И не запускается NOD.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 21.05.2010, 12:45

Доброго времени суток
Отключите восстановление системы
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore','DisableSR',1); 
 QuarantineFile('C:\WINDOWS\system32\dllcache\c_950.nls:RtCd8A','');
 QuarantineFile('C:\WINDOWS\system32\fmedia.cpl','');
 QuarantineFile('C:\PROGRA~1\BODY-B~1\db_pack.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\winachcf.sys','');
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 DeleteService('msupdate');
 DeleteFile('c:\windows\system32\mssrv32.exe');
 DeleteFile('C:\WINDOWS\system32\dllcache\c_950.nls:RtCd8A');
 DeleteFile('C:\Documents and Settings\All Users\systems.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteRepair(20);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

**Teekei** · 21.05.2010, 14:21

Сообщение от DefesT

Доброго времени суток
Отключите восстановление системы
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

Восстановление системы отключил уже после восстановления AVZ такой возможности. К интернету не подключен. Антивирус не загружается, по крайней мере в трей не падает, а при запуске вручную (egui.exe) ошибка: Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения. Может подскажете как лечить или только переустановка? Скрипт в AVZ выполнил, карантин отправил. Логи прикрепил.

**PavelA** · 21.05.2010, 14:25

выполнить скрипт:

Код:

begin
ExecuteRepair(6);
RebootWindows(true);
end.

После перезагрузки попробовать запустить Нод.

**Teekei** · 21.05.2010, 14:46

Сообщение от PavelA

выполнить скрипт:

Код:

begin
ExecuteRepair(6);
RebootWindows(true);
end.

После перезагрузки попробовать запустить Нод.

Очень большое спасибо. Помогло.

**Teekei** · 24.05.2010, 07:23

А что с повторными логами и карантином? Посмотрите пожалуйста.

**polword** · 24.05.2010, 07:56

В логах чисто.

обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

**Teekei** · 24.05.2010, 08:52

Всем спасибо.

Тема закрыта.

**DefesT** · 24.05.2010, 11:17

Выполните еще такой скрипт:

Код:

begin
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\system32\dllcache\c_950.nls:RtCd8A', ''), ',,', ','));
end.

**CyberHelper** · 25.05.2010, 11:17

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 22
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.22 ( DrWEB: Program.RemoteAdmin.167 )

Логи после удаления SMS-порно вымогателя (заявка № 78986)

Опции темы

Логи после удаления SMS-порно вымогателя

Итог лечения

Похожие темы

проверка после удаления вымогателя

Логи после удаления порно-баннера

После удаления вируса-вымогателя.

Лог после удаления SMS вымогателя

Последствия после удаления вымогателя

Ваши права в разделе