Смс-вымогатель был пролечен на другом компе, теперь бы подчистить хвосты, помогите, пожалуйста.
Printable View
Смс-вымогатель был пролечен на другом компе, теперь бы подчистить хвосты, помогите, пожалуйста.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
[code]
O4 - HKLM\..\Run: [lphcc69j0ejcr] C:\WINDOWS\system32\lphcc69j0ejcr.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O23 - Service: Сервер lanmanserverIDriverT (lanmanserverIDriverT) - Unknown owner - C:\WINDOWS\
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)
[/code]
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\lphcc69j0ejcr.exe','');
QuarantineFile('C:\WINDOWS\Fonts\REFSPCL.TTF:exrsJNZnxBM','');
QuarantineFile('C:\WINDOWS\system32\blphcc69j0ejcr.scr','');
DeleteService('Wincj06');
DeleteService('Wincj06');
DeleteService('Winqw62');
DeleteService('Winyg17');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg17.sys','');
QuarantineFile('Winqw62.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Wincj28.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Wincj06.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winqw62.sys','');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteService('lanmanserverIDriverT');
BC_QrSvc('msupdate');
BC_QrSvc('lanmanserverIDriverT');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Wincj06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wincj28.sys');
DeleteFile('Winqw62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqw62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyg17.sys');
DeleteFile('C:\WINDOWS\system32\blphcc69j0ejcr.scr');
DeleteFile('C:\WINDOWS\system32\lphcc69j0ejcr.exe');
DeleteFile('C:\WINDOWS\Fonts\REFSPCL.TTF:exrsJNZnxBM');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lphcc69j0ejcr');
DeleteFile('WinCtrl32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32','DLLName');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Wincj06');
BC_DeleteSvc('Winqw62');
BC_DeleteSvc('Winyg17');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('lanmanserverIDriverT');
BC_Activate;
ExecuteRepair(17);
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Fonts\REFSPCL.TTF:exrsJNZnxBM', ''), ',,', ','));
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Спасибо!
Чисто в логах.
Большое Спасибо! тему можно закрывать)