Показано с 1 по 9 из 9.

Остатки от смс-вымогателя (заявка № 95627)

  1. #1
    Junior Member Репутация
    Регистрация
    06.04.2009
    Сообщений
    4
    Вес репутации
    55

    Thumbs up Остатки от смс-вымогателя

    Поймал смс-вымогатель. Загрузился с Dr. Web live USB. Просканировал, удалил инфицированные файлы, лечить он их отказался.

    Баннера теперь нет.
    Но при загрузке появляется пустой рабочий стол. При попытке вызвать диспетчер задач открывается калькулятор. В безопасном режиме то же самое. Загрузился с флешки, чтобы выполнить описанные правила. Не обнаружил диска С:. Так что даже не знаю, будут ли полезны прикрепленные к сообщению логи. Надеюсь на помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Cattaro, - Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении

  4. #3
    Junior Member Репутация
    Регистрация
    06.04.2009
    Сообщений
    4
    Вес репутации
    55
    Файл сохранён как 110118_221550_virusinfo_files_INFRA_CD-27924_4d35e6e6cc389.zip
    Размер файла 11753849
    MD5 74a05ddaa17bdb13c207a88281f09aa0

    Опять же хочу обратить ваше внимание на то, что при загрузке с флешки, я не вижу диска С: Поэтому, скорее всего, в архиве - файлы с моей загрузочной флешки, а не с системного диска. А при обычной загрузке я не могу работать.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Cattaro, в логах сделанных с загрузочной флешки нет никакой пользы, нужны логи с вашей системы, попытайтесь каким-нибудь образом запустить AVZ и сделать логи, в крайнем случае можно попытаться загрузиться в безопасном режиме с поддержкой командной строки и сделать логи оттуда.

  6. #5
    Junior Member Репутация
    Регистрация
    06.04.2009
    Сообщений
    4
    Вес репутации
    55
    Спасибо за совет. Выкладываю все логи, полученные при загрузке в безопасном режиме с поддержкой командной строки.

    Файл сохранён как 110119_083604_virusinfo_files_MICROSOF-8C3511_4d3678444ec6f.zip
    Размер файла 1387216
    MD5 95cc2c60b24a0d914fdfccca781a38a9
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Installer\1f29c.msi','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\bowcav.exe','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('C:\Documents and Settings\Admin\Мои документы\приколы\xxx_video_40338.avi.exe','');
     QuarantineFile('F:\IFRA\about.exe','');
     QuarantineFile('C:\WINDOWS\system32\25.exe','');
     QuarantineFile('C:\WINDOWS\system32\73.exe','');
     QuarantineFile('C:\WINDOWS\system32\84.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\bowcav.exe');
     DeleteFile('F:\autorun.inf');
     DeleteFile('C:\Documents and Settings\Admin\Мои документы\приколы\xxx_video_40338.avi.exe');
     DeleteFile('F:\IFRA\about.exe');
     DeleteFile('C:\WINDOWS\system32\25.exe');
     DeleteFile('C:\WINDOWS\system32\73.exe');
     DeleteFile('C:\WINDOWS\system32\84.exe');
     RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(9);
     ExecuteRepair(16);
     ExecuteWizard('TSW', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.

    Сделайте новые логи.

  8. #7
    Junior Member Репутация
    Регистрация
    06.04.2009
    Сообщений
    4
    Вес репутации
    55
    Операционная система после перезагрузки загрузилась в нормальном режиме. Большое спасибо.

    Логи:

    Файл сохранён как 110119_185542_virus_4d37097e0e98b.zip
    Размер файла 3629097
    MD5 397f8efa82eb8eedc12adbf7e7fe1114

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Ничего плохого

    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Обновите JavaRE
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 43
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\25.exe - P2P-Worm.Win32.Palevo.bomc ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.110597, AVAST4: Win32:Malware-gen )
      2. c:\\windows\\system32\\73.exe - Packed.Win32.Krap.ig ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.110597, AVAST4: Win32:Malware-gen )
      3. c:\\windows\\system32\\84.exe - P2P-Worm.Win32.Palevo.bomc ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.110597, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Cattaro, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Остатки от смс-вымогателя
      От Petrovi4 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 17.03.2011, 15:07
    2. Остатки от смс-вымогателя
      От СергейД в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.03.2011, 01:02
    3. Остатки смс вымогателя,sfc.sys
      От NechaevI в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 08.02.2010, 23:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01611 seconds with 18 queries