Trojan winlock 321

Printable View

14.10.2009, 14:07
Пух

Trojan winlock 321

Короч суть такая что при входе в систему пишет ваша система заблокирована для активации пришлите смс с таким то текстом на номер 3469
Пароли которые даны на drweb.ru не подходят.
Скачал курит прогнал в безопасном режиме.. нашел вирусы trojan winlock 321 и trojan winlock 302.
Удалил перегрузил вроде все нормально..
Сохранил конфигурацию.
И на следующий день появилось тоже самое...
курит нечего нового не находит... делаю востановление вроде все работает но до следующего дня.
14.10.2009, 14:34
Пух

up
14.10.2009, 14:39
light59

[B][COLOR="Red"]Отключите восстановление системы![/COLOR][/B]

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\yYd4U6Xe.sys','');
TerminateProcessByName('c:\docume~1\7b5c~1\locals~1\temp\dc55396471\59ys5t.exe');
QuarantineFile('c:\docume~1\7b5c~1\locals~1\temp\dc55396471\59ys5t.exe','');
TerminateProcessByName('c:\docume~1\7b5c~1\locals~1\temp\dc55396471\4bw2jxp.exe');
QuarantineFile('c:\docume~1\7b5c~1\locals~1\temp\dc55396471\4bw2jxp.exe','');
DeleteFile('c:\docume~1\7b5c~1\locals~1\temp\dc55396471\4bw2jxp.exe');
DeleteFile('c:\docume~1\7b5c~1\locals~1\temp\dc55396471\59ys5t.exe');
DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\yYd4U6Xe.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR].

Повторите логи по правилам.
14.10.2009, 14:57
Пух

Вот все сделал.. отслал карантин. выкладываю скрипты.. и буду ждать что будет завтра
14.10.2009, 15:09
light59

В логах ничего плохого.

[URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Установите Service Pack 3[/URL] (может потребоваться активация) + последующие обновления.
14.10.2009, 15:23
Пух

качаю накачу щас...
нечего плохого в первых логах или во вторых?
Кстатаи при очистке темпа файлы 59ys5t.exe и 4bw2jxp.exe не смоги быть удалены вручную..
Могло ли в них сидеть тело червя?
14.10.2009, 15:43
light59

[QUOTE='Пух;486067']Могло ли в них сидеть тело червя? [/QUOTE]
они в процессах сидели. Но в карантин не попали, так что сказать ничего не могу
14.10.2009, 16:15
Пух

ну что в процессах сидели я и сам видел...
дождусь завтра и посмотрми что выйдет
15.10.2009, 11:28
Пух

накатил СП3, накатил все обновления после скрипта, всегодня все норм. большое спасибо
16.10.2009, 11:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]