Лечение после разблокировки Windows (смс-вымогатели)
Добрый вечер!
Случилось несчастье и словила вирус, который блокирует систему и требует положить деньги (400 рублей) на номер +7 903 246 96 21.
Помогли найти код разблокировки. После разблокировки провела все необходимые процедуры лечения и собрала все логи. Смотрите в приложении.
Прошу проверить, всё ли чисто, если нет - подскажите, что и как дочистить.
Заранее огроменное Вам спасибо!!! Если бы не ваш сайт - вообще бы не знала, что и делать....
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо. Уже качаю!)))
Доброго времени суток
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\appmgmts.dll',''); QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ttn61.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys',''); DeleteService('Ttn61'); DeleteService('port135sik'); DeleteService('acpi32'); DeleteService('ws2_32sik'); DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ttn61.sys'); DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Это Вы кому?Сообщение от Равлик
Это я, видимо, сама себе)))) Да просто реклама вылезла, как выяснилось, и я за это поблагодарила)))
Чайник я пока тут)))
А вот на счет ваших подсказок - действительно СПАСИБО! Буду пытаться сделать)))
Добавлено через 20 минут
Уфффф... Вроде сделала карантин и послала...
Не знаю, все ли правильно сделала - чайник полный.
А новые логи делать сейчас или когда? И что с ними потом делать?
Добавлено через 4 минуты
Мда... Такое ощущение, что я что-то не так сделала с тем, какие файлы надо было добавить в карантин... Уффффф...
Вы еще ничего не получали?...
Последний раз редактировалось Равлик; 16.07.2010 в 19:59. Причина: Добавлено
Сделайте новые логи и прикрепите их к сообщению, как Вы это делали в первый раз
карантин получен, только он пустой, файлы туда не захотели залезать.
Ага, сейчас логи новые сделаю и пошлю вам.
А что тогда делать с карантином?...
Вы заранее извините меня, если в чем-то торможу...
давайте о нем забудем
Ну вот вроде логи...
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Сделайте новый лог virusinfo_syscheck.zipКод:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Drivers\Ttn61.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ttn61.sys'); BC_DeleteSvc('Ttn61'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
А интернет отключать, когда буду скрип делать?...
Добавлено через 5 минут
А! Поняла))) - по аналогии с тем, что выписали выше - выключить интернет и все отключить)))) И потом делать скрип...
Последний раз редактировалось Равлик; 16.07.2010 в 22:21. Причина: Добавлено
Вот...
Сделала все, как вы сказали
Пофиксите в Hijackthis:Больше зловредного не вижу.Код:R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
В целях безопасности рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер. Также обновите продукты Adobe и JavaRePlatform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
СПАСИБО ВАМ ОГРОМНОЕ!!!!
Все сделаю!!!!
Уффф!!! Ну у вас и мозг!!!!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Равлик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
