Очередной Заблокированный ВИНДОУЗ(отпрвка смс)

Printable View

18.09.2009, 12:01
MArtar

Очередной Заблокированный ВИНДОУЗ(отпрвка смс)

вот скрипты
18.09.2009, 12:18
MArtar

есть вопрос, нельзя ли сделать какой то универсальный скрипт, конкретно для этого вируса, я думаю это не последнийслучай будет, уже второй за сутки
18.09.2009, 12:23
Aleksandra

Выполните в AVPTool скрипт:

[CODE]begin
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]

Сделайте новый лог исследования системы.
18.09.2009, 12:52
MArtar

пишет что выполняется скрипт...никаких действий

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[url]http://virusinfo.info/showthread.php?t=54992[/url] может это как то поможет, точно такой же
18.09.2009, 12:55
Aleksandra

Перегрузитесь и повторите лог.
18.09.2009, 13:05
MArtar

после перезпгрузки
18.09.2009, 13:15
Aleksandra

Драйвер расширенного мониторинга не установился. Тогда:

1. Деинсталлируйте AVPTool закрыв его окно (с перезагрузкой);
2. Обновите базы AVZ;
3. Выполните скрипт в AVZ из предыдущего моего собщения;
4. После перезагрузки повторите лог [B]virusinfo_syscheck.[/B]
18.09.2009, 13:35
MArtar

лог
18.09.2009, 13:51
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
DelBHO('{638e9359-625e-4e8a-aa5b-824654c3239b}');
DelBHO('{606C4243-7899-481E-98DB-D0B92B770276}');
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
QuarantineFile('c:\windows\ctfmon.exe','');
TerminateProcessByName('c:\windows\ctfmon.exe');
DeleteFile('c:\windows\ctfmon.exe');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=55041[/url]

3. Выполните [url]http://virusinfo.info/showthread.php?t=43700[/url]

4. Повторите логи.
18.09.2009, 14:11
MArtar

проблема решена, логи высылаю
18.09.2009, 14:17
Aleksandra

[QUOTE=MArtar;470497]проблема решена[/QUOTE]
Лечение еще далеко не закончено.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('\systemroot\system32\drivers\rotscxqmehqaxr.sys','');
DeleteFile('\systemroot\system32\drivers\rotscxqmehqaxr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=55041[/url]

3. Выполните [url]http://virusinfo.info/showthread.php?t=43700[/url]

4. Повторите логи.
19.09.2009, 14:17
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\ctfmon.exe - [B]Trojan-Ransom.Win32.VB.ap[/B] ( DrWEB: Trojan.Winlock.277 )[*] c:\windows\system32\csrcs.bak - [B]Packed.Win32.Klone.bj[/B] ( DrWEB: Win32.HLLW.Autohit.10031 )[*] c:\windows\system32\csrcs.exe - [B]Packed.Win32.Klone.bj[/B] ( DrWEB: Win32.HLLW.Autohit.10031 )[/LIST][/LIST]