Столкнулись с этим вымогателем.
Баннер больше чем на четверть экрана.
VRT удалил Bredolab.bke и еще нескролько троянов и вирусов, но баннер не исчез.
Помогите, пожалуйста!
Printable View
Столкнулись с этим вымогателем.
Баннер больше чем на четверть экрана.
VRT удалил Bredolab.bke и еще нескролько троянов и вирусов, но баннер не исчез.
Помогите, пожалуйста!
1) Пролечитесь от файлового вируса как указано в этой теме: [url]http://virusinfo.info/showthread.php?t=15927[/url]
Т.к. у вас в системе обнаружен драйвер Sality (Sector):
[CODE]NdisFileServices32
C:\WINDOWS\system32\drivers\olkfo.sys[/CODE]
2) После выполнения первого пункта:
- Скачайте программу из вложения, запустите и дождитесь окончания работы. Компьютер перезагрузится.
- Удалите файл C:\WINDOWS\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
3) Пофиксите в HijackThis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe[/CODE]
4) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteService('msupdate');
DeleteService('NdisFileServices32');
QuarantineFile('C:\autorun.exe','');
QuarantineFile('C:\autorun.wsh','');
QuarantineFile('E:\autorun.wsh','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\olkfo.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys','');
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\autorun.exe');
DeleteFile('C:\autorun.wsh');
DeleteFile('E:\autorun.wsh');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\olkfo.sys');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
5) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
6) Сделайте новые логи.
При выполнении п.1 проблема - DrWebLiveCD ничего такого не находит. Переходить к выполнению остальных пунктов?
Спасибо.
[QUOTE]При выполнении п.1 проблема - DrWebLiveCD ничего такого не находит. Переходить к выполнению остальных пунктов?[/QUOTE]
Это означает что активного заражения нет - остались только остатки (драйвер) - которые удалятся скриптом из пункта 4.
Выполняйте все следующие пункты по порядку.
Внешних проявлений больше нет.
Карантин закачал.
Логи прикрепляю.
Все ли нормально?
Спасибо огромное!
1) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteService('Passthru');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ (если архив будет не пустой) закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
3) Сделайте новый лог virusinfo_syscheck.zip + такой лог: [url]http://virusinfo.info/showthread.php?t=53070[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]