-
Junior Member
- Вес репутации
- 53
Информер от brazzers.com
Здравствуйте. На рабочем столе стоит информер-вымогатель 4612502 на номер 5121. Загрузиться в безопасном режиме не возможно, диспетчер задач блокирован, проверка DrWb LaveCD ничего не дала. AVZ запускается, но ничего выполнить в нем нельзя. Не могли бы вы посоветовать с чего начать.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
По этой инструкции http://virusinfo.info/showthread.php?t=51777 проверьте содержимое параметра shell. Оно должно быть explorer.exe и ничего более
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сделал логи. Посмотрите пожалуйста.
Последний раз редактировалось OlegMal; 29.06.2010 в 23:15.
-
Что-нибудь пришлось в реестре исправлять?
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
QuarantineFile('C:\WINDOWS\ccqowk.tmp','');
DeleteFile('C:\WINDOWS\ccqowk.tmp');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\WINDOWS\system32\vksaver.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Кроме блокера, у Вас еще и вор паролей. Смените все пароли
Сделайте новые логи (попробуйте обычный AVZ с обновленными базами) + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Да, в реестре правил параметр shell. Запрошенные логи прилагаю. Карантин выслал.
Последний раз редактировалось OlegMal; 29.06.2010 в 23:15.
-
Сообщение от
OlegMal
Да, в реестре правил параметр shell
Что было приписано. Это важно и тоже требует карантина и удаления
При создании лога gmer никаких лишних меток не снимали? С Registry, например?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Помимо Explorer.exe была еще строка C\Program files\TotalComander\.....\total.exe , что то тип этого, ну лоханулся я и не скопировал Меток в gmere я не снимал, но при запуске он мне выдал окно "" Warning!GWER has found system modification, which might have been by ROOTKIT AKTIVITY. dOU YOU TO FULLY SCAN YOUR SYSTEM?"" и вбыл выделен красным файл system32\drivers\SKYNET cpxuwqpm.sys (***hidden***) Я нажал нет. Может надо было продолжить?
-
Сообщение от
OlegMal
Может надо было продолжить?
Конечно. Нажать Нет, а потом Scan и выполнить полную проверку
Скорее был такой путь C:\Program files\Common Files\TotalComander\total.exe. Сам файл не удаляли, надеюсь?
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Файлы не удалял. Логи прилагаю
Последний раз редактировалось OlegMal; 29.06.2010 в 23:15.
-
Поищите папку, в которой есть файл times.txt и укажите полный путь к нему
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service SKYNETsswqqhbl
gmer.exe -del file "c:\windows\system32\drivers\SKYNETcpxuwqpm.sys"
gmer.exe -del file "c:\windows\system32\SKYNETfoboieli.dll"
gmer.exe -del file "c:\windows\system32\SKYNETrfquftit.dat"
gmer.exe -del file "c:\windows\system32\SKYNETevpnmdbs.dll"
gmer.exe -del file "c:\windows\system32\SKYNETikewondv.dat"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETsswqqhbl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\SKYNETsswqqhbl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\SKYNETsswqqhbl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\SKYNETsswqqhbl"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETsswqqhbl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\SKYNETsswqqhbl"
gmer.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
thyrex, путь к папке times.txt здесь выложить или мне его надо где-то прописать?
-
Выложить здесь. Только times.txt - это файл, а не папка
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Запрошенный файл не нашел. Лог прилагаю.
Последний раз редактировалось OlegMal; 29.06.2010 в 23:15.
-
На кнопку Scan снова забыли нажать?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Scan я нажимал, высылаю повторный лог, сделал сейчас.
Последний раз редактировалось OlegMal; 29.06.2010 в 23:15.
-
Чисто
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
thyrex, Спасибо за помощь, все работает без тормозов. Сын остался доволен. Тему можно закрывать.
Последний раз редактировалось OlegMal; 08.06.2010 в 22:04.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
-