-
Junior Member
- Вес репутации
- 50
Экран-вирус
Уважаемы друзья!
Прошу Вас помочь. Рыская по просторам интернета поймал вирус.
При загрузке появился черный экран с надпись "Внимание!!!...заплати с терменала 400 руб. на номер МТС 89153939431 и введи полученный код".
Смог выбраться к диспетчеру задач, и закрыл процесс xxx_video (точное название не помню), после запустил утилиту и выполнил восстановление системы задним числом, перезагрузился, сейчас все работает, но не уверен в том, что вирус удален.
ПОМОГИТЕ, проверить и в случае необходимости очистить компьютер от вирусов.
Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\msxslt3.exe','');
QuarantineFile('D:\WINDOWS\system32\rescue32.exe','');
QuarantineFile('D:\WINDOWS\services.exe','');
QuarantineFile('D:\WINDOWS\system32\srrstr.dll','');
QuarantineFile('D:\WINDOWS\system32\svshost.dll','');
TerminateProcessByName('d:\windows\system32\wininet.exe');
QuarantineFile('d:\windows\system32\wininet.exe','');
TerminateProcessByName('d:\docume~1\admin\locals~1\temp\startup\svchost.exe');
QuarantineFile('d:\docume~1\admin\locals~1\temp\startup\svchost.exe','');
DeleteFile('d:\docume~1\admin\locals~1\temp\startup\svchost.exe');
DeleteFile('d:\windows\system32\wininet.exe');
DeleteFile('D:\WINDOWS\system32\svshost.dll');
DeleteFile('D:\WINDOWS\services.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
DeleteFile('D:\WINDOWS\system32\rescue32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysRun');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
DeleteFile('D:\WINDOWS\system32\msxslt3.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MsXSLT');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Дошел ли архив с файлами из карантина.......
Надо ли еще делать логи
-
Junior Member
- Вес репутации
- 50
Логи
По Вашему требованию высылаю вновь сделанные логи
-
Удалите ComboFix.
Выполните скрипт в AVZ в безопасном режиме:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\rescue32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Ответ на запрос
Как просили комбофикс удалил, скрипты выполнил.
Почему то не могу зайти на мейл, весь остальной инет работает, а как на мейл заходишь пишет "не удается зайти на ....и адрес. Операция прервана". Может ли это быть вирус
Дополнительно высылаю логи
-
Junior Member
- Вес репутации
- 50
Дополнение
Проблема с мейлом касается всех адресов
Добавлено через 27 минут
установил оперу в мейл входит
Последний раз редактировалось maximus634; 16.12.2010 в 21:20.
Причина: Добавлено
-
Удалите папку D:\Qoobox.
Для правильной работы автообновления Windows
восстановите из дистрибутива или скопируйте с аналогичной системы файл
C:\WINDOWS\system32\wuauserv.dll.
Больше ничего плохого не видно.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- d:\\docume~1\\admin\\locals~1\\temp\\startup\\svch ost.exe - Trojan.Win32.Swisyn.arzt ( DrWEB: Trojan.DownLoader1.45018, BitDefender: DeepScan:Generic.Malware.Fdld!!.0F95B1DD, NOD32: Win32/Flood.K trojan, AVAST4: Win32:Malware-gen )
- d:\\windows\\services.exe - Backdoor.Win32.Goolbot.kn ( DrWEB: Trojan.Inject.17078, BitDefender: Trojan.VB.OFT, AVAST4: Win32:Trojan-gen )
- d:\\windows\\system32\\msxslt3.exe - Backdoor.Win32.Goolbot.kn ( DrWEB: Trojan.Inject.17070, BitDefender: Trojan.VB.OFT, AVAST4: Win32:Malware-gen )
- d:\\windows\\system32\\rescue32.exe - Trojan-Spy.Win32.BZub.lcj ( DrWEB: Trojan.DownLoader1.45021, BitDefender: Trojan.Generic.5681441, AVAST4: Win32:VB-YLY [Trj] )
- d:\\windows\\system32\\svshost.dll - Trojan-Downloader.Win32.Agent.bfo ( DrWEB: Trojan.DownLoad2.31385, BitDefender: Trojan.Downloader.Agent.AXP, AVAST4: Win32:Small-CHC [Trj] )
- d:\\windows\\system32\\wininet.exe - Trojan.Win32.VB.amxv ( DrWEB: Trojan.DownLoader1.43096, BitDefender: Trojan.Generic.KDV.84504, AVAST4: Win32:Trojan-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-