winloker не удаляется

Printable View

30.03.2011, 17:37
fagler

winloker не удаляется

Сегодня у моего знакомого вылез баннер, блокирующий работу explorer. просит отправить смс за гей-онлайн. В безопасном режиме отредактировал параметр shell, указав верный путь к explorer, вместо вирусного exe-файла. Система стала работать. Свежий cureit скачанный сегодня ничего не нашел. Установил нод. Базы не обновляются, ни с локального диска ни с интернета, пишет ошибку 0x101a. после перезапуска система не грузится в обычном режиме, только нижняя полоска с кнопкой пуск. Диспетчер задач не запускается, пишет ошибку запуска. Так в гостях сижу уже давно и пора ехать могу приложить только логи обновленной avz. также прилагаю скрин, в котором на нормальном сайте выскакивает неубирающееся окошком с требованием обновить браузер, что эксплорер, что оперу до еще несуществующей версии.
30.03.2011, 17:38
fagler

Забыл добавить, что система снова стала запускаться в обычном режиме после удаления нод в безопасном режиме.
30.03.2011, 18:08
Nikkollo

Отключите Восстановление системы.

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\SSVICHOSST.exe','');
QuarantineFile('C:\Windows\system32\iytouak.dll','');
DeleteFile('C:\Windows\system32\iytouak.dll');
DeleteFile('c:\windows\Tasks\At1.job');
DeleteFile('C:\Windows\system32\SSVICHOSST.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
31.03.2011, 08:56
fagler

Файл сохранён как 110331_045631_2011-03-31_4d94097f7df68.zip
Размер файла 29736
MD5 f0a21bc73d222223040435f3944e4577
31.03.2011, 09:14
fagler

nod32 по прежнему не хочет обновлять базы с той же ошибкой, и так же с установленным nod32 не запускается в обычном режиме, пока не удалишь. Может быть конфликтует с другим установленным антивирусом Zillya? Еще все время при запуске интернет эксплорер запускается сайт [URL]http://www.apeha.ru/[/URL], хотя домашняя страница указана "пустая" в настройках
31.03.2011, 09:21
polword

virusinfo_syscure.zip - Старый прикрепили
31.03.2011, 09:31
fagler

удалил zillya, нод32 стал работать нормально
31.03.2011, 09:36
fagler

[QUOTE=polword;779232]virusinfo_syscure.zip - Старый прикрепили[/QUOTE]

удалил все, заново проверил. Выдал только один этот архив.
31.03.2011, 12:22
Nikkollo

virusinfo_cure.zip уберите из всех ваших сообщений.

Пофиксите в HijackThis:
[CODE]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru
[/CODE]

Больше подозрительного не обнаружено.
31.03.2011, 15:52
fagler

Ок, спасибо! Излечено!
01.04.2011, 15:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\iytouak.dll - [B]Trojan.Win32.Zapchast.few[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.5813226, AVAST4: Win32:MalOb-HG [Cryp] )[/LIST][/LIST]