Доброго времени суток, уважаемые Специалисты! Помогите избавиться от смс вымогателя uFastDownloadManager
Printable View
Доброго времени суток, уважаемые Специалисты! Помогите избавиться от смс вымогателя uFastDownloadManager
[B][COLOR="Red"]1. Отключите системное восстановление!
2. Обновите базы AVZ![/COLOR][/B]
3. Пофиксите в HJT:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\LOCALS~1.000\APPLIC~1\UFASTD~1\PROPET~1.EXE[/CODE]
4. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\docume~1\locals~1.000\applic~1\ufastd~1\propet~1.exe');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\pbklib.dll','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\xuplib.dll','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\zdjlib.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1275923915-5674977462-737989125-6041\hdav.exe','');
QuarantineFile('C:\DOCUME~1\LOCALS~1.000\APPLIC~1\UFASTD~1\PROPET~1.EXE','');
DeleteFile('C:\DOCUME~1\LOCALS~1.000\APPLIC~1\UFASTD~1\PROPET~1.EXE');
DeleteFile('C:\RECYCLER\S-1-5-21-1275923915-5674977462-737989125-6041\hdav.exe');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\zdjlib.dll');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\xuplib.dll');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\pbklib.dll');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFileMask('C:\DOCUME~1\LOCALS~1.000\APPLIC~1\UFASTD~1','*.*',true);
DeleteDirectory('C:\DOCUME~1\LOCALS~1.000\APPLIC~1\UFASTD~1');
DelBHO('{830E0FD7-8EAC-4475-A43F-62944E036DEA}');
DelBHO('{916BAA20-3D33-4B93-A2DF-4AFCD0637BF8}');
DelBHO('{73407F73-6DAE-4FD8-9C8F-9028B18E7E10}');
BC_ImportDeletedList;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится
Файл quarantine.zip закачайте по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B] вверху темы
Сделайте новые логи
Противный софт исчез!!!! Спасибо огромное за то что вы есть!!!!!!!!!! Восстанавливаю драйвера сетевой карты
Логи новые не забудьте сделать
ЛОГИ сделал
В логах чисто
[QUOTE]2. Обновите базы AVZ![/QUOTE]Как об стенку горох...
Ладно.
Установите SP3 и Internet Explorer 8
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users.windows\application data\pbklib.dll - [B]Trojan-Ransom.Win32.BHO.d[/B] ( DrWEB: Trojan.Blackmailer.863, BitDefender: Trojan.Generic.1404630, NOD32: Win32/Hexzone.AB trojan, AVAST4: Win32:Adware-gen [Adw] )[*] c:\documents and settings\all users.windows\application data\xuplib.dll - [B]Trojan-Ransom.Win32.Hexzone.afn[/B] ( DrWEB: Trojan.Blackmailer.844, BitDefender: Trojan.Generic.1405049, AVAST4: Win32:Trojan-gen )[*] c:\docume~1\locals~1.000\applic~1\ufastd~1\propetyufastmanager.exe - [B]Trojan-Ransom.Win32.SMSer.qm[/B] ( DrWEB: Trojan.Winlock.412, NOD32: Win32/LockScreen.CX trojan )[*] c:\docume~1\locals~1.000\applic~1\ufastd~1\propet~1.exe - [B]Trojan-Ransom.Win32.SMSer.qm[/B] ( DrWEB: Trojan.Winlock.412, NOD32: Win32/LockScreen.CX trojan )[*] c:\recycler\s-1-5-21-1275923915-5674977462-737989125-6041\hdav.exe - [B]Trojan.Win32.Buzus.bweg[/B] ( DrWEB: BackDoor.IRC.Sdbot.5190, BitDefender: Trojan.Generic.2357698, AVAST4: Win32:Injector-SE [Trj] )[/LIST][/LIST]