-
Junior Member
- Вес репутации
- 54
Атаковал winlocker
Windows был заблокирован и во весь рабочий стол при загрузке выскакивал банер. Банер удалось убить с помощью DrWeb CureIT. Антивирус нашел изрядное количество зараженных файлов и полечил их. Есть веские основания полагать что зараза еще сидит в недрах ОС и ждет своего часа. Логи прикладываю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\arkrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\msx10.dll','');
QuarantineFile('C:\Documents and Settings\Loner\200567115\200567115.EXE','');
DeleteFile('C:\Documents and Settings\Loner\200567115\200567115.EXE');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZDF200567115200567115200567115aAdsWrtenbvbnb__0ZDF200567115_2005671150');
DeleteFile('C:\WINDOWS\arkrnl.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 54
Карантин прислал. Новую порцию логов выкладываю.
-
Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
В остальном подозрительного нет.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 54
Указанные записи пофиксил. В AVZ предложенный скрипт выполнил, обнаружилось около 10 пропущенных обновлений. Все поставил. Все чудесно работает. Огромное спасибо за помощь!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\arkrnl.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Siggen2.16741, BitDefender: Trojan.Generic.5420312, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\xuqufie.dll - Backdoor.Win32.Agent.blkk ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6277910, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )
-