Прошу помощи! Стандартная ситуация с почтой от имени известного адресата. Файлы заблокировались, все что нажито непосильным трудом пропало. выручайте!
Прошу помощи! Стандартная ситуация с почтой от имени известного адресата. Файлы заблокировались, все что нажито непосильным трудом пропало. выручайте!
Уважаемый(ая) [B]Lexa13[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\SysWOW64\mjcm\5123\nsib.dll','');
QuarantineFile('C:\Windows\System32\tprb\dnkt.exe','');
QuarantineFile('C:\Windows\System32\dmwu.exe','');
QuarantineFile('c:\windows\syswow64\mjcm\dnkt.exe','');
BC_ImportAll;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Выполнил, отправил. Чем дальше занятся?
Эти файлы Вам знакомы? Что они делают в планировщике задач?
[CODE]F:\autorun.exe
F:\setup.exe[/CODE]
Закройте все программы, [B]временно[/B] [URL="http://virusinfo.info/showthread.php?t=130828"]выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ
[CODE]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
ClearQuarantine;
StopService('IBUpdaterService');
SetServiceStart('IBUpdaterService', 4);
TerminateProcessByName('C:\Windows\System32\tprb\dnkt.exe');
TerminateProcessByName('c:\windows\syswow64\mjcm\dnkt.exe');
TerminateProcessByName('C:\Windows\System32\dmwu.exe');
QuarantineFile('C:\Windows\Temp\TS_1840.tmp','');
QuarantineFile('C:\Users\Sony\AppData\Local\Temp\nsp6A96.tmp\blowfish.dll','');
DeleteFile('C:\Windows\System32\dmwu.exe','32');
DeleteFile('c:\windows\syswow64\mjcm\dnkt.exe','32');
DeleteFile('C:\Windows\System32\tprb\dnkt.exe','32');
DeleteFile('C:\Windows\SysWOW64\mjcm\5123\nsib.dll','32');
DeleteFile('C:\Windows\SysWOW64\mjcm\ImHttpComm.dll','32');
DeleteFile('C:\Users\Sony\AppData\Roaming\iolo\EventMsg.dll','32');
DeleteFile('C:\Users\Sony\AppData\Local\Temp\nsp6A96.tmp\blowfish.dll','32');
DeleteFile('C:\Windows\Temp\TS_1840.tmp','32');
DeleteFile('C:\Windows\system32\mjcm\dnkt.exe','32');
DeleteFile('C:\Windows\system32\mjcm\5113\nsib.dll','32');
DeleteFile('C:\Windows\syswow64\mjcm\dnkt.exe','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_DeleteSvc('IBUpdaterService');
BC_Activate;
RebootWindows(false);
end.[/CODE]
Компьютер перезагрузится.
Выполните ещё один скрипт
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.[/CODE]Загрузите файл virus.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" вверху темы. Сделайте новые логи AVZ.
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Исполнил. Прилагаю ЛОГИ и отчет клинера.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
F:\autorun.exe
F:\setup.exe
Файлы непонятные да и диска F: у меня нет.
Закройте все программы, [B]временно[/B] [URL="http://virusinfo.info/showthread.php?t=130828"]выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ
[CODE]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\windows\system32\hasplms.exe');
DeleteFile('c:\windows\system32\hasplms.exe','32');
DeleteFile('F:\autorun.exe','32');
DeleteFile('F:\setup.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{12000FF4-2551-4419-9394-9B6C2DCABADD}','64');
DeleteFile('C:\Windows\system32\Tasks\{23A67523-35BC-4242-88C6-A54C8A560928}','64');
DeleteFile('C:\Windows\system32\Tasks\{2D61CA2D-2E79-4EFB-899D-29DA5067DBCB}','64');
DeleteFile('C:\Windows\system32\Tasks\{2F4A2076-1023-453B-8FDD-A477E5D0DEE2}','64');
DeleteFile('C:\Windows\system32\Tasks\{37C7C9C9-1C37-4A16-8217-35F3DEDC8EED}','64');
DeleteFile('C:\Windows\system32\Tasks\{43674A93-44FD-45A4-A4D8-251F51839BED}','64');
DeleteFile('C:\Windows\system32\Tasks\{6EA0F6CA-717E-4977-AD74-8BC0D9F59802}','64');
DeleteFile('C:\Windows\system32\Tasks\{8FA834C6-3847-46E0-9E22-A9B290E278EB}','64');
DeleteFile('C:\Windows\system32\Tasks\{9C60F180-2BEB-4F4D-B010-C5D7683789D4}','64');
DeleteFile('C:\Windows\system32\Tasks\{9C9F6742-7685-4492-AE04-8C837F878BA7}','64');
DeleteFile('C:\Windows\system32\Tasks\{A5D2AD06-3E6B-434E-B46A-0E59956E12F5}','64');
DeleteFile('C:\Windows\system32\Tasks\{D585AAF1-66D6-4BFA-B4BD-E750BC1875FD}','64');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_DeleteFile('c:\windows\system32\hasplms.exe');
BC_Activate;
RebootWindows(false);
end.[/CODE]
Компьютер перезагрузится. Сделайте новый лог virusinfo_syscheck.zip Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё).
Проделал все рекомендуемые действия. После удаления файлов в AdwCleaner он почему-то самоудалился, это правильно?
[QUOTE]После удаления файлов в AdwCleaner он почему-то самоудалился, это правильно? [/QUOTE]Нет. Лог C:\AdwCleaner\AdwCleaner[S0].txt остался? Прикрепите его к сообщению.
Отключились службы Аваст антивирус и файрвол. При попытке включить сообщение отказано в доступе.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Пропала вся папка C:\AdwCleaner\
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Загрузил снова AdwCleaner есть отчет.
Логи в порядке. Заархивируйте несколько зашифрованных файлов и прикрепите к сообщению.
Вложил файлы. А что делать Авастом и брандмауэром, не запускаются. Ссылаются что отключена служба базовой фильтрации. Она тоже не хочет запускаться.
[b]Lexa13[/b], расшифровать без приватного ключа, который есть только у автора шифровальщика невозможно.
прочитайте эту статью [url]http://virusinfo.info/showthread.php?t=164586[/url]
возможно поможет получить нужный ключ для расшифровки для расшировки в ходе обыска у авторов трояна.
Источник микроба никому не нужен? Остался в почте. И что все-таки с системой, отключены службы защиты.
[QUOTE]Источник микроба никому не нужен?[/QUOTE]Конечно нужен :)
Сможете заархивровать в zip архив с паролем virus и отправить по ссылке "Прислать запрошенный карантин"?
[QUOTE]А что делать Авастом и брандмауэром, не запускаются. Ссылаются что отключена служба базовой фильтрации. Она тоже не хочет запускаться. [/QUOTE]Выдается сообщение об ошибке? Можете сделать его скриншот?
Отправил источник с именем virus по ссылке. Проблемы с системой решились сносом Аваста и установкой Доктора Веб.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\dmwu.exe - [B]not-a-virus:WebToolbar.Win32.Perinet.d[/B][*] c:\windows\system32\mjcm\dnkt.exe - [B]not-a-virus:WebToolbar.Win32.Perinet.d[/B][*] c:\windows\system32\mjcm\5113\nsib.dll - [B]not-a-virus:WebToolbar.Win32.Perinet.d[/B][*] c:\windows\system32\tprb\dnkt.exe - [B]not-a-virus:WebToolbar.Win32.Perinet.d[/B][*] c:\windows\syswow64\mjcm\dnkt.exe - [B]not-a-virus:WebToolbar.Win32.Perinet.d[/B][*] c:\windows\syswow64\mjcm\5123\nsib.dll - [B]not-a-virus:WebToolbar.Win32.Perinet.d[/B][/LIST][/LIST]