Trojan.winlock.302

Printable View

08.11.2009, 18:25
howsteve

Вложений: 3

Trojan.winlock.302

Здравствуйте. Подхватил троян с просьбой послать смс за лицензионный ключ Windows, при запуске Windows запускается и не дает ничего сделать. Запускался в безопасном режиме и проверял систему Кьюритом, трояны он находил и успешно удалял, но это, к сожалению, не помогло. Прошу помочь.
08.11.2009, 18:33
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Winupdate\update.exe','');
DeleteFile('C:\Program Files\Winupdate\update.exe');
DeleteFileMask('C:\Program Files\Winupdate','*.*',true);
DeleteDirectory('C:\Program Files\Winupdate');
DelCLSID('{CDA489F2-BB1B-37D8-4F3D-3BDCB7DE0B2B}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][U][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/U][/B]" над первым сообщением темы)

Сделайте новые логи + [B][url=http://virusinfo.info/showthread.php?t=40118]лог GMER[/url][/B]
08.11.2009, 19:18
howsteve

Выполнил
08.11.2009, 19:23
Никита Соловьев

Сохраните текст ниже как [B]cleanup.bat[/B] в ту же папку, где находится [B]1jl14p8r.exe[/B] (gmer)
[CODE]1jl14p8r.exe -del service xfkfyzi
1jl14p8r.exe -del service yldsz
1jl14p8r.exe -del file "C:\WINDOWS\system32\yysaxb.dll"
1jl14p8r.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xfkfyzi"
1jl14p8r.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yldsz"
1jl14p8r.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xfkfyzi"
1jl14p8r.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yldsz"
1jl14p8r.exe -reboot[/CODE]И запустите [B]cleanup.bat[/B].

Компьютер перезагрузится

Сделайте новый лог gmer
08.11.2009, 19:55
howsteve

Сделано. После запуска cleanup.bat выскачило несколько ошибок (вроде "не удается найти указанный модуль"), но какие-то процессы шли и компьютер перезагрузился
08.11.2009, 19:56
Никита Соловьев

[QUOTE]После запуска cleanup.bat выскачило несколько ошибок[/QUOTE]Это нормально

В логе чисто. Проблема решена?
08.11.2009, 20:01
howsteve

К сожалению,нет.
08.11.2009, 20:08
Никита Соловьев

Какие проблемы наблюдаются?
08.11.2009, 20:23
howsteve

Всё так же при запуске выскакивает оено с просьбой выслать смс. "1.у меня это гребаное окошко открывалось буквально через 5 секунд после загрузки винды - т.е. нужно очень быстро нажать ctrl-alt-del и отключить из процессов explorer.exe - все вирусня не подгружается и можно спокойно танцевать с бубном." (С) затем снова запускал процесс explorer, загружается рабочий стол и можно дальше продолжать работать, причем всё работает без тормозов. Так и выполнял все действия.
08.11.2009, 20:26
Никита Соловьев

Я вот этого не заметил сразу:
[QUOTE]Система загружена в режиме защиты от сбоев (SafeMode)[/QUOTE]

Сделайте логи в нормальном режиме
08.11.2009, 20:29
howsteve

Нужно ли при проверке отключать интернет?
08.11.2009, 20:34
Никита Соловьев

Если есть возможность - лучше отключить + выгрузите/закройте все программы кроме IE
08.11.2009, 21:23
howsteve

Вот новые логи.
08.11.2009, 21:30
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\mfo.exe','');
DeleteFile('C:\WINDOWS\mfo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mfo.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] закачайте по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B]

Сделайте новые логи
08.11.2009, 21:47
howsteve

Проблема решена, компьютер загружается нормально и больше деньги не вымогает :) Venus Doom, ОГРОМНОЕ Вам спасибо за потраченое на решение моей проблемы время!
дальше присылать логи, я думаю, не нужно?
08.11.2009, 21:51
Никита Соловьев

Нужно, нужно проверить, все ли удалилось
08.11.2009, 22:05
howsteve

Вот
08.11.2009, 22:09
Никита Соловьев

Чисто
08.11.2009, 22:10
howsteve

Еще раз спасибо!
09.11.2009, 22:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\mfo.exe - [B]Trojan-Ransom.Win32.SMSer.rw[/B][/LIST][/LIST]