Винлок

Printable View

14.02.2010, 14:22
yuyushin

Винлок

Подцепил винлок(Trojan-Ransom.Win32.Chameleon.cc). Убил его [U]вручную[/U] через вторую систему, но не знаю, все ли файлы я убил. Теперь при запуске системы вместо explorer.exe запускается system32\user32.exe, и я не знаю, как вернуть(скопировал explorer.exe в system32 и переименовал в user32.exe). При открытии "Мой компьютер" зависает:(
P.S. При создании темы, когда выделил слово "вручную" и нажал [B][U]U[/U][/B] - сами по себе начали появляться в строчку буквы "я", "е", "в" и ещё несколько:O
14.02.2010, 16:14
V_Bond

отключите восстановление системы !
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\user32.exe','');
QuarantineFile('C:\WINDOWS\system32\digest.dll','');
QuarantineFile('%SystemRoot%\system32\user32.exe','');
DeleteFile('%SystemRoot%\system32\user32.exe');
DeleteFile('C:\WINDOWS\system32\user32.exe');
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
14.02.2010, 17:17
yuyushin

Из карантина прислать user32.exe и digest.dll? Я конечно постараюсь их прислать, но у меня исходящий интернет - тормозящий GPRS.
15.02.2010, 18:33
yuyushin

Карантин получен?
17.02.2010, 14:05
polword

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFileMask('%programfiles%\Bonjour\','*.*',true);
DeleteDirectory('%programfiles%\Bonjour\');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(14);
BC_DeleteSvc('Bonjour Service');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[size="1"][color="#666686"][B][I]Добавлено через 56 секунд[/I][/B][/color][/size]

вот это
[QUOTE]Internet Explorer v7.00 [/QUOTE]
- надо обновить до [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
18.02.2010, 14:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]