-
Junior Member
- Вес репутации
- 42
Windows заблокирован. пополнить МТС:+79827105203. Trojan.win32.Generic [Trojan.Win32.Qhost.afse
]
День добрый!
У меня следующая проблема: схватил банер! просит на номер МТС перекинуть 1000 руб. ПАролей для разблокировки не нашел. Зашел в систему с Kaspersky Rescue Disk 10 и просканировал. Нашел HEUR: Trojan.Win32.Generic и HEUR:Exploit.Java.cve-2013-1493.gen. Удалил их но банер не пропал. Можете помочь?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Александр711, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
-
-
Junior Member
- Вес репутации
- 42
Вечер добрый! Сделал образ автозапуска. Прикрепляю.
-
Выполните скрипт в uVS из безопасного режима:
Код:
;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
; C:\USERS\ALEXANDER\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB549D06E8B78912614E7A3CF67C05BEE25A6217A7A80E311469C3539560B99389F5F980E9725532B2B2D288296A2BEED44D 24 PUP.UpdateTask
; C:\USERS\ALEXANDER\APPDATA\ROAMING\FUNMOODS\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B23536A4C7261D4C4B12DBDEB549DCAE3B7891219537A3CF67C05BE586D6217A7A80E311469C39F8360B99389F5F99EE9725532CE58D2884C6A55F9DDFE 24 Win32:Downloader-SPD [PUP] [Avast]
zoo %SystemDrive%\USERS\ALEXANDER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\QW2JD.EXE
zoo %SystemDrive%\USERS\ALEXANDER\APPDATA\ROAMING\FUNMOODS\UPDATEPROC\UPDATETASK.EXE
zoo %SystemDrive%\USERS\ALEXANDER\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
; C:\USERS\ALEXANDER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\QW2JD.EXE
addsgn 9252623A156AC1CCE0BB514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 24 Gen:Variant.Kazy.201733 [BitDefender]
delref %SystemDrive%\USERS\ALEXANDER\APPDATA\LOCAL\MICROSOFT\WINDOWS\WINUPDATE.EXE
chklst
delvir
deltmp
restart
Компьютер перезагрузится.
Сделайте логи по правилам из обычного режима.
-
-
Junior Member
- Вес репутации
- 42
Пока все хорошо. Вот стандарные логи.
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantineEx(True);
QuarantineFileF('C:\Program Files (x86)\na_plyazu', '*', true,'', 0, 0, '', '', '');
DeleteFileMask('C:\Program Files (x86)\na_plyazu','*',true);
DeleteDirectory('C:\Program Files (x86)\na_plyazu');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*', true);
ExitAVZ;
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте AdwCleaner (by Xplode) и сохраните его на рабочем столе. Запустите его (в Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в файле C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 42
Выполнил по рецепту
- - - Добавлено - - -
прошу прощения каранитин переслал как просили.
-
Карантин, пожалуйста, из вложений уберите.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен как C:\AdwCleaner[S1].txt. Прикрепите отчет к своему следующему сообщению.
Внимание! Для успешного удаления может потребоваться перезагрузка компьютера.
Упакуйте содержимое папки ZOO (от uVS) с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
-
-
Junior Member
- Вес репутации
- 42
-
Устраните уязвимости - и всё на этом.
Выполните рекомендации после лечения.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files (x86)\\na_plyazu\\finski\\zaebal.pros - Trojan.Win32.Qhost.afse ( AVAST4: VBS:Bicololo-EK [Trj] )
- \\zoo\\qw2jd.exe._27b2754f8c556c0d7b6c3034f3c18c3a 9dbadd4c - Trojan.Win32.Inject.fwva ( BitDefender: Gen:Variant.Kazy.201733, AVAST4: Win32:Fareit-IF [Trj] )
-