Атаковал winlocker
Windows был заблокирован и во весь рабочий стол при загрузке выскакивал банер. Банер удалось убить с помощью DrWeb CureIT. Антивирус нашел изрядное количество зараженных файлов и полечил их. Есть веские основания полагать что зараза еще сидит в недрах ОС и ждет своего часа. Логи прикладываю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\arkrnl.exe',''); QuarantineFile('C:\WINDOWS\system32\msx10.dll',''); QuarantineFile('C:\Documents and Settings\Loner\200567115\200567115.EXE',''); DeleteFile('C:\Documents and Settings\Loner\200567115\200567115.EXE'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZDF200567115200567115200567115aAdsWrtenbvbnb__0ZDF200567115_2005671150'); DeleteFile('C:\WINDOWS\arkrnl.exe'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Карантин прислал. Новую порцию логов выкладываю.
Профиксите в HijackThis
В остальном подозрительного нет.Код:R3 - URLSearchHook: (no name) - - (no file) O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Указанные записи пофиксил. В AVZ предложенный скрипт выполнил, обнаружилось около 10 пропущенных обновлений. Все поставил. Все чудесно работает. Огромное спасибо за помощь!!!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\arkrnl.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Siggen2.16741, BitDefender: Trojan.Generic.5420312, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\xuqufie.dll - Backdoor.Win32.Agent.blkk ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6277910, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )
Уважаемый(ая) parenek43, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
