Доброй ночи! Пожалуйста помогите! остались ли следы этого вымогателя?
Printable View
Доброй ночи! Пожалуйста помогите! остались ли следы этого вымогателя?
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('D:\Program Files\Делфи\Delphi6\Bin\bordbg60.exe','');
QuarantineFile('C:\WinNER5\cup5\loader.exe','');
QuarantineFile('C:\WINDOWS\system32\woohagukou.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Documents and Settings\Влад\Application Data\Microsoft\sucookoo.exe','');
QuarantineFile('C:\WINDOWS\system32\bgspmnt.dll','');
QuarantineFile('C:\Documents and Settings\Влад\Application Data\Microsoft\looso.exe','');
QuarantineFile('C:\Documents and Settings\Влад\Application Data\Microsoft\mouruvalej.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\tummouquu.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\tavoulouwif.exe','');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\tavoulouwif.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\tummouquu.exe');
DeleteFile('C:\Documents and Settings\Влад\Application Data\Microsoft\mouruvalej.exe');
DeleteFile('C:\Documents and Settings\Влад\Application Data\Microsoft\looso.exe');
DeleteFile('C:\Documents and Settings\Влад\Application Data\Microsoft\sucookoo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','quowoup');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\woohagukou.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ticooze');
BC_ImportALL;
BC_DeleteSvc('vheenyapuiaip');
BC_DeleteSvc('oweyunujoye2e1');
BC_DeleteSvc('fu1e9if219yaof');
BC_DeleteSvc('deoegyhi2j5oo');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите Hijackthis (что останется)
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [ticooze] C:\WINDOWS\system32\woohagukou.exe
O4 - HKCU\..\Run: [quowoup] C:\Documents and Settings\Влад\Application Data\Microsoft\sucookoo.exe
O23 - Service: Backbone Service (deoegyhi2j5oo) - Unknown owner - C:\Documents and Settings\LocalService\Application Data\Microsoft\tavoulouwif.exe (file missing)
O23 - Service: SmartLinkService (fu1e9if219yaof) - Unknown owner - C:\Documents and Settings\LocalService\Application Data\Microsoft\tummouquu.exe (file missing)
O23 - Service: Crypkey License (oweyunujoye2e1) - Unknown owner - C:\Documents and Settings\Влад\Application Data\Microsoft\mouruvalej.exe (file missing)
O23 - Service: bcveServ (vheenyapuiaip) - Unknown owner - C:\Documents and Settings\Влад\Application Data\Microsoft\looso.exe (file missing)[/code]
Закачайте полученный карантин по красной ссылке вверху. Повторите логи AVZ, Hijackthis плюс сделайте лог Gmer (см. в моей подписи)
После Вашего скрипта фиксить было уже нечего)) но какая-то другая дрянь вылезла..
Новые логи:
Сохраните текст ниже как cleanup.bat в ту же папку, где находится fsz0p6cj.exe (gmer)
[code]fsz0p6cj.exe -del service jombmdks
fsz0p6cj.exe -del file "C:\WINDOWS\system32\dskio.dll"
fsz0p6cj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jombmdks"
fsz0p6cj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\jombmdks"
fsz0p6cj.exe -reboot[/code]
И запустите cleanup.bat
Компьютер перезагрузится. Лог Gmer повторите
Теперь вроде все чисто:)
Посмотрите, пожалуйста
[code]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/code]
Установите SP3 и вышедшие после него обновления (может потребоваться активация), обновите браузер до IE8
Спасибо за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]