Показано с 1 по 20 из 20.

Trojan.winlock.302 (заявка № 59627)

  1. #1
    Junior Member Репутация
    Регистрация
    29.07.2009
    Сообщений
    10
    Вес репутации
    31

    Thumbs up Trojan.winlock.302

    Здравствуйте. Подхватил троян с просьбой послать смс за лицензионный ключ Windows, при запуске Windows запускается и не дает ничего сделать. Запускался в безопасном режиме и проверял систему Кьюритом, трояны он находил и успешно удалял, но это, к сожалению, не помогло. Прошу помочь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Winupdate\update.exe','');
     DeleteFile('C:\Program Files\Winupdate\update.exe');
     DeleteFileMask('C:\Program Files\Winupdate','*.*',true);
     DeleteDirectory('C:\Program Files\Winupdate');
     DelCLSID('{CDA489F2-BB1B-37D8-4F3D-3BDCB7DE0B2B}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

    Сделайте новые логи + лог GMER

  4. #3
    Junior Member Репутация
    Регистрация
    29.07.2009
    Сообщений
    10
    Вес репутации
    31
    Выполнил

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится 1jl14p8r.exe (gmer)
    Код:
    1jl14p8r.exe -del service xfkfyzi
    1jl14p8r.exe -del service yldsz
    1jl14p8r.exe -del file "C:\WINDOWS\system32\yysaxb.dll"
    1jl14p8r.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xfkfyzi"
    1jl14p8r.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yldsz"
    1jl14p8r.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xfkfyzi"
    1jl14p8r.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yldsz"
    1jl14p8r.exe -reboot
    И запустите cleanup.bat.

    Компьютер перезагрузится

    Сделайте новый лог gmer

  6. #5
    Junior Member Репутация
    Регистрация
    29.07.2009
    Сообщений
    10
    Вес репутации
    31
    Сделано. После запуска cleanup.bat выскачило несколько ошибок (вроде "не удается найти указанный модуль"), но какие-то процессы шли и компьютер перезагрузился

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    После запуска cleanup.bat выскачило несколько ошибок
    Это нормально

    В логе чисто. Проблема решена?

  8. #7
    Junior Member Репутация
    Регистрация
    29.07.2009
    Сообщений
    10
    Вес репутации
    31
    К сожалению,нет.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Какие проблемы наблюдаются?

  10. #9
    Junior Member Репутация
    Регистрация
    29.07.2009
    Сообщений
    10
    Вес репутации
    31
    Всё так же при запуске выскакивает оено с просьбой выслать смс. "1.у меня это гребаное окошко открывалось буквально через 5 секунд после загрузки винды - т.е. нужно очень быстро нажать ctrl-alt-del и отключить из процессов explorer.exe - все вирусня не подгружается и можно спокойно танцевать с бубном." (С) затем снова запускал процесс explorer, загружается рабочий стол и можно дальше продолжать работать, причем всё работает без тормозов. Так и выполнял все действия.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Я вот этого не заметил сразу:
    Система загружена в режиме защиты от сбоев (SafeMode)
    Сделайте логи в нормальном режиме

  12. #11
    Junior Member Репутация
    Регистрация
    29.07.2009
    Сообщений
    10
    Вес репутации
    31
    Нужно ли при проверке отключать интернет?

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Если есть возможность - лучше отключить + выгрузите/закройте все программы кроме IE

  14. #13
    Junior Member Репутация
    Регистрация
    29.07.2009
    Сообщений
    10
    Вес репутации
    31
    Вот новые логи.

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\mfo.exe','');
     DeleteFile('C:\WINDOWS\mfo.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mfo.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин

    Сделайте новые логи

  16. #15
    Junior Member Репутация
    Регистрация
    29.07.2009
    Сообщений
    10
    Вес репутации
    31
    Проблема решена, компьютер загружается нормально и больше деньги не вымогает Venus Doom, ОГРОМНОЕ Вам спасибо за потраченое на решение моей проблемы время!
    дальше присылать логи, я думаю, не нужно?

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Нужно, нужно проверить, все ли удалилось

  18. #17
    Junior Member Репутация
    Регистрация
    29.07.2009
    Сообщений
    10
    Вес репутации
    31
    Вот

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Чисто

  20. #19
    Junior Member Репутация
    Регистрация
    29.07.2009
    Сообщений
    10
    Вес репутации
    31
    Еще раз спасибо!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\mfo.exe - Trojan-Ransom.Win32.SMSer.rw


  • Уважаемый(ая) howsteve, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 24.06.2012, 10:04
    2. Trojan.WinLock.1477 и Trojan.Oficla.38
      От localnetlock в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.05.2010, 19:53
    3. Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)
      От bolshoy kot в разделе Описания вредоносных программ
      Ответов: 6
      Последнее сообщение: 16.02.2010, 19:16
    4. Trojan.Packed.16886 и Trojan.WinLock
      От Rogoff в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.12.2009, 06:56
    5. Вирусные аналитики: Все о Trojan.Encoder и Trojan.Winlock
      От SDA в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 09.12.2009, 09:56

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00650 seconds with 17 queries