Здравствуйте!
Поймал лже-антивирус.
Не даёт запуститься ни одной программе. При попытке запуска выскакивает окно с сообщением об угрозе данной программы. Хлопает даже касперского.
Пробовал удолять путём сноса папки с вирусом, и чистки реестра. На время получалось, но после перезагрузки вирус опять скачивался из интернета.
Бьюсь с ним уже неделю, прошу у вас помощи!
P.S.
У меня 64х битная система,1й пункт не выполнял. Поэтому virusinfo_syscure.zip не получил
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) messer1941, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\system32\diskstrB.dll',''); QuarantineFile('C:\PROGRA~3\Mozilla\ukzpxim.exe',''); QuarantineFile('c:\users\andrey\dxgrjx.exe',''); QuarantineFile('c:\progra~3\dxixdga.exe',''); QuarantineFile('C:\ProgramData\ng9lVa33\ng9lVa33.exe',''); QuarantineFile('C:\Users\Andrey\AppData\Local\Temp\diskstrB64.dll',''); QuarantineFile('C:\Users\Andrey\AppData\Local\Temp\diskstrB.dll',''); QuarantineFile('C:\Users\Andrey\hyqsapxutinl.exe',''); QuarantineFile('C:\Users\Andrey\fppaun.exe',''); DeleteFile('C:\Users\Andrey\fppaun.exe','32'); DeleteFile('C:\Users\Andrey\hyqsapxutinl.exe','32'); DeleteFile('C:\Users\Andrey\AppData\Local\Temp\diskstrB.dll','32'); DeleteFile('C:\Users\Andrey\AppData\Local\Temp\diskstrB64.dll','32'); DeleteFile('C:\ProgramData\ng9lVa33\ng9lVa33.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AS2014'); DeleteFile('c:\progra~3\dxixdga.exe','32'); DeleteFile('c:\users\andrey\dxgrjx.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','13120'); DeleteFile('C:\PROGRA~3\Mozilla\ukzpxim.exe','32'); DeleteFile('C:\Windows\system32\Tasks\lerwpvd','64'); DeleteFile('C:\Windows\system32\diskstrB.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(13); RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отправил карантин, высылаю логи.
После перезагрузки выполненной скриптом, вирус вроде не запустился, но боюсь, что опять выскочит откуда нибудь, как уже бывало раньше
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\andrey\dxgrjx.exe'); DeleteFile('c:\users\andrey\dxgrjx.exe','32'); ClearHostsFile; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU',3,3,true); RebootWindows(true); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог HijackThis.
WBR,
Vadim
Пока что вирус не всплывал, высылаю логи
Да один троян ещё сидит крепко...
Сделайте полный образ автозапуска uVS.
WBR,
Vadim
Высылаю
Скопируйте скрипт из окна "код" ниже в буфер обмена:Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить". На вопросы об удалении программ соглашайтесь.Код:;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 offsgnsave zoo C:\USERS\ANDREY\DXGRJX.EXE ; C:\USERS\ANDREY\DXGRJX.EXE addsgn 9A0C63DA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC6791EA5639B2B415A53B105437F51BA0461649FA7DDFE97255DAB02C2D039F2EB763501A 24 Spyware.Zbot.ED [Malwarebytes] zoo C:\USERS\ANDREY\APPDATA\ROAMING\DESKTOP.INI ; C:\USERS\ANDREY\APPDATA\ROAMING\DESKTOP.INI addsgn 4AED779A55A84072C718627DA804DEC9700110A1DF716A740E8ED5372DDEFA8DA8C6C09105ABEB4110788B1DE61749FAFC26687255DAC230AE4AB86FC7162207 45 TR/Sessy.9728 [AntiVir] ; C:\WINDOWS\SYSWOW64\DISKSTRB.DLL addsgn 710037A995E704735B85FE4E71ECF90535DA773AE15D0A789592AF84D317751D491793A82B5576493B83C0BB429BD9327DDFE87141FE3978297F27EB87C5FC42 64 BackDoor.Gozi.55 [DrWeb] ; C:\WINDOWS\SYSTEM32\DISKSTRA64.DLL addsgn BA6F9BB204387FBBF4C1EC4E64C8485CCD65FFF689B29CBCAD009D5F80B9BB4ACEF375C97E3153D6A3BDBB34DEB1F6BCA4F3AA98CDB5B0F75D2F1EB14F3B58E1 64 Win64/Kryptik.BM [ESET-NOD32] zoo %Sys32%\DISKSTRA64.DLL delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\TEMP\744734~1.EXE bl 43F91CA240F8E08FD5108488439F58D9 93601 ; C:\USERS\ANDREY\APPDATA\ROAMING\NTUSER.DAT addsgn A7679BC9DE37442480A1A234929F997835FFF575B4BAEF7895C32E9AD328703826943D554B773C19DB80941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 32 W32.FakeNtUserLTB.Trojan [Bkav] zoo %SystemDrive%\USERS\ANDREY\APPDATA\ROAMING\NTUSER.DAT ; C:\WINDOWS\SYSTEM32\DISKSTRB64.DLL chklst delvir deltmp restart
Компьютер перезагрузится.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS, загрузите его на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
Карантин выслал, высылаю лог: http://rghost.ru/49379869
Карантин отправил, а лог не получается прикрепить, модераторы отклоняют ссылку
В личном сообщении напишите.
WBR,
Vadim
Написал
Скопируйте скрипт из окна "код" ниже в буфер обмена:
Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить". На вопросы об удалении программ соглашайтесь.Код:;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 offsgnsave ; C:\USERS\ANDREY\DXGRJX.EXE addsgn 9A0C63DA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC6791EA5639B2B415A53B105437F51BA0461649FA7DDFE97255DAB02C2D039F2EB763501A 24 Spyware.Zbot.ED [Malwarebytes] bl 43F91CA240F8E08FD5108488439F58D9 93601 delmz C:\USERS\ANDREY\DXGRJX.EXE chklst delvir restart
Компьютер перезагрузится.
Новый образ автозапуска и ссылку на него.
WBR,
Vadim
Выслал в личку
Добили гада
Проверим, не осталось ли чего.
Сделайте лог полного сканирования МВАМ.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- \\zoo\\dxgrjx.exe._ceda54ffa79a77f1eb2581178031716 00a8fbde2 - Trojan-Ransom.Win32.Blocker.cmrw ( BitDefender: Trojan.GenericKDV.1332898, AVAST4: Win32:Gamarue-CB [Wrm] )
Уважаемый(ая) messer1941, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
