Пропал доступ к "Диспетчеру задач", проблемы с выходом в интернет, на рабочем столе сообщение поверх всех окон с требованием отправить смс
Printable View
Пропал доступ к "Диспетчеру задач", проблемы с выходом в интернет, на рабочем столе сообщение поверх всех окон с требованием отправить смс
Закройте все программы.
Выполните в AVPTool скрипт:
[code]
begin
SetAVZGuardStatus(True);
ExecuteRepair(11);
QuarantineFile('C:\Documents and Settings\Admin\Cookies\userlib.dll','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\don8.tmp','');
DeleteFile('c:\docume~1\admin\locals~1\temp\don8.tmp');
DeleteFile('C:\Documents and Settings\Admin\Cookies\userlib.dll');
CreateQurantineArchive('C:\quarantine.zip');
ExecuteRepair(14);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Загрузите файл C:\quarantine.zip, используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] вверху этой темы.
Сделайте новый файл исследования системы и приложите сюда.
Установите обновления безопасности на Windows.
[COLOR=black][FONT=Verdana]Предложили скачать файл, для того, чтоб видео можно было смотреть он-лайн (иначе диалоговое окно не закрывалось). Принудительно перезагрузил комп. После перезагрузки вылезло окно почти на весь экран, поверх всех окон, в нём предлагалось отправить смс на короткий номер и после введения кода окно закроется. Окно не закрывалось никак, не перемещалось и не сворачивалось, только с помощью дополнительной кнопки мыши "закрыть приложение". В безопасном режиме нет и этого. Потом подумал об "Диспетчере задач", обнаруживаю, что он заблокирован администратором. Далее интернет исчез, появляется только после системной диагностики проблем подключения. Не понимаю, в чем дело. Буду весьма признателен за помощ.[/FONT][/COLOR]
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin\LOCALS~1\Temp\don8.tmp
O2 - BHO: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL (file missing)[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\don8.tmp');
QuarantineFile('C:\Documents and Settings\Admin\Cookies\userlib.dll','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\don8.tmp','');
DeleteFile('c:\docume~1\admin\locals~1\temp\don8.tmp');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11); {разблокировка диспетчера задач}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
[b]- Обновите базы AVZ!!![/b]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
Я понять не могу: это два разных компьютера или один и тот же? Вы выполнили то, что Вас просил AndreyKa? Логи очень похожи - объяснитесь, пожалуйста!
Да, комп один и тот же, прошу прощения за повтор просьбы. Просто сначала подумали, что всвязи с неполной информацией заявка рассмотрена не будет (есть горе-советчики). Поэтому выполнили полную проверку и выслали полные данные. То, что предложил AndreyKa выполнил, все вроде работает нормально, проблемы решены за что гигантское спасибо!
Где контрольные логи?
[QUOTE]Сделайте новый файл исследования системы и приложите сюда. [/QUOTE]
Сейчас делаем
контрольный лог
Больше ничего вредоносного в логах не видно.
Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние [URL="http://update.microsoft.com"]обновления системы Windows[/URL] и используемых программ. И вообще, постарайтесь выполнить все советы, [URL="http://virusinfo.info/showthread.php?t=30339"]указанные здесь[/URL] - это максимально отдалит время нашей следующей с Вами встречи :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\admin\locals~1\temp\don8.tmp - [B]Trojan-Ransom.Win32.SMSer.nv[/B] ( DrWEB: Trojan.Winlock.320 )[/LIST][/LIST]