при загрузке выскакивает сообщение о нелицензионном windows и требованием скинуть денег через смс. подмена диспетчера задач. AVZ не исправляет. CureIt нашёл чего-то. удалил. не помогло.
Printable View
при загрузке выскакивает сообщение о нелицензионном windows и требованием скинуть денег через смс. подмена диспетчера задач. AVZ не исправляет. CureIt нашёл чего-то. удалил. не помогло.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
ExecuteAVUpdate;
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5318066730-9284413542-400378174-2134\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5318066730-9284413542-400378174-2134\mwau.exe');
DeleteFile('C:\WINDOWS\ctfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ctfmon.exe');
DeleteFile('H:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=58079[/url]
3. Повторите лог [B]virusinfo_syscheck.[/B]
система грузится только в безопасном режиме. отключение восстановления системы не представляется возможным
Пропустите...
сорри, что сразу не отписался... смог добраться к зараженному компу только сейчас. Всё прошло удачно. Спасибо
Где карантин и повторный лог?
комп работает. drweb иногда кричит, что что-то нашёл. Похоже что-то осталось...
- Обновите базы AVZ
Выполните скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\RECYCLER\S-1-5-21-5318066730-9284413542-400378174-2134\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
DeleteFile('H:\autorun.inf');
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.[/CODE]Повторите логи.
обновил
выполнил
повторил
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
QuarantineFile('C:\RECYCLER\S-1-5-21-789336058-1214440339-725345543-500\Dc3105.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-789336058-1214440339-725345543-500\Dc3105.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][U][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/U][/B]" над первым сообщением темы)
Сделайте новый лог [B]virusinfo_syscheck.zip[/B]
Вы работаете в P2P сети?
комп не мой. из р2р нашёл только flyDC
Ничего зловредного в логах нет. Что с проблемами?
в данный момент проблем не наблюдается
СПАСИБО ОГРОМНОЕ!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-5318066730-9284413542-400378174-2134\mwau.exe - [B]P2P-Worm.Win32.Palevo.jyu[/B] ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Worm.Generic.97455, AVAST4: Win32:MalOb-U [Cryp] )[*] c:\windows\ctfmon.exe - [B]Trojan-Ransom.Win32.SMSer.pg[/B] ( DrWEB: Trojan.Winlock.340, BitDefender: Trojan.Generic.2590756, NOD32: Win32/LockScreen.CH trojan, AVAST4: Win32:Malware-gen )[*] h:\autorun.inf - [B]Trojan.Win32.AutoRun.t[/B][/LIST][/LIST]