При попытке войти в кошелек выдается ошибка. WMID и пароль ввожу верные.
Printable View
При попытке войти в кошелек выдается ошибка. WMID и пароль ввожу верные.
Пофиксите с помощью hijackthis:
[CODE]O20 - AppInit_DLLs: C:\WINDOWS.0\system32\ielib32.dll[/CODE]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS.0\system32\Winupdates\update.exe','');
QuarantineFile('C:\WINDOWS.0\systemroot\system32\ntfs_ext7.exe','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS.0\system32\ielib32.dll','');
DeleteFile('C:\WINDOWS.0\system32\ielib32.dll');
DeleteFile('C:\WINDOWS.0\systemroot\system32\ntfs_ext7.exe');
DeleteFile('d:\81c1dff6a1f5db4d402c\wgasetup.exe');
DeleteFile('C:\WINDOWS.0\system32\Winupdates\update.exe');
DeleteFile('C:\WINDOWS.0\Installer\e5f4d.msi');
DeleteFileMask('d:\81c1dff6a1f5db4d402c','*.*',true);
DeleteDirectory('d:\81c1dff6a1f5db4d402c');
DelCLSID('{4DF3D02A-E882-E652-1DA3-78EF0D8431A4}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ загрузите по ссылке "прислать запрошенный карантин" вверху темы. Сделайте новые логи
Про AVZ вроде понятно, а в hijackthis где вставлять код?
Вставлять не надо. Отметить указанную строку и нажать внизу [B]Fix Checked[/B].
Прошу прощения. Я в этом полный 0. Можно подробнее?
PS Вроде с hijackthis разобрался
Давайте дальше.
Логи сделал после quarantine.zip.
Выполните скрипт в AVZ
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
QuarantineFile('C:\WINDOWS.0\system32\msvcrt57.dll','');
QuarantineFile('C:\WINDOWS.0\system32\adsldpcw.exe','');
QuarantineFile('C:\WINDOWS.0\system32\6to4svcu.exe','');
DeleteFile('C:\WINDOWS.0\system32\msvcrt57.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Обновите базы AVZ[/B]
Сделайте новые логи
Сделал
Меняйте пароли от платежных систем
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\System32\drivers\svchost.e','');
QuarantineFile('C:\WINDOWS.0\system32\adsldpcw.exe','');
DeleteService('oseClipSrv');
QuarantineFile('C:\WINDOWS.0\system32\6to4svcu.exe','');
DeleteService('helpsvcAppMgmt');
DeleteFile('C:\WINDOWS.0\system32\6to4svcu.exe');
DeleteFile('C:\WINDOWS.0\system32\adsldpcw.exe');
DeleteFile('C:\WINDOWS.0\System32\drivers\svchost.e');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Спасибо за совет
Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
Карантина нет - список файлов для создания архива пуст.
Выполните скрипт в AVZ
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделано
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\usrinit.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\usrinit.exe','');
DeleteFile('C:\WINDOWS.0\system32\usrinit.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Что с проблемами?
Сделал. Карантин пустой.
Проблема осталась. Инициализация со старым ключем тоже не проходит.
В логах ничего подозрительного больше нет.
У вас был троян, заточеный под воровство паролей WebMoney
(C:\WINDOWS.0\system32\msvcrt57.dll), так что видимо
пароль уже был изменен злоумышленником.
Спасибо.
Попробую связаться с WebMoney.
[size="1"][color="#666686"][B][I]Добавлено через 5 часов 28 минут[/I][/B][/color][/size]
Еще раз благодарю всех помощников.
Отправил запрос в WebMoney на восстановление контроля. Надеюсь, что все обойдется.
Тему, наверное, можно закрывать.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows.0\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.WebMoner.na[/B] ( DrWEB: Trojan.PWS.Webmonier.186, BitDefender: Trojan.Generic.2859261, AVAST4: Win32:Malware-gen )[*] c:\windows.0\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B] ( DrWEB: Trojan.WinSpy.416, AVAST4: Win32:Patched-KP [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]