-
Junior Member
- Вес репутации
- 59
Заблокирован реестр и диспетчер задач. Не запускаются приложения.
День добрый, господа!
Вчера я столкнулся с вирусом, который при запуске любого приложения выводит на экран окно в котором (для якобы разблокирования системы) требует выслать смс на номер ХХХХ. В безопасном режиме та же песня. С горем пополам мне удалось запустить на той машине Cureit и AVZ и выполнить все необходимые для помощи действия. Cureit успешно выловил 2 трояна, но после перезагрузки ничего не изменилось. Реестр заблокирован вместе с диспетчером задач. В AVZ я попытался выполнить скрипты восстановления настроек системы. Всё проходит ок, но после перезагрузки диспетчер с реестром вновь блокируются. Мои попытки изменить ветки реестра, отвечающие за разблокировку и запуск приложений не увенчались успехом, так как компьютер не загружается в безопасном режиме с поддержкой командной строки.
Вот, вроде бы и всё. Прошу Вашей помощи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи AVZ и HijackThis можете сделать?
Если да - выложите их.
-
-
Junior Member
- Вес репутации
- 59
Странно, я был уверен, что логи приложены. Простите.
-
Пофиксите в HiJack
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\fjOWP.dll
O20 - Winlogon Notify: Csrss - C:\WINDOWS\
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('overlapp32.dll','');
QuarantineFile('C:\WINDOWS\system32\winservcs32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
DeleteService('protect');
QuarantineFile('C:\WINDOWS\system32\poof','');
DeleteService('poof');
QuarantineFile('C:\WINDOWS\system32\kprof','');
DeleteService('aslm75');
DeleteService('docker19');
DeleteService('Ekp73');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ekp73.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aslm75.sys','');
QuarantineFile('C:\WINDOWS\system32\wpv4059.cpx','');
QuarantineFile('C:\WINDOWS\system32\fjOWP.dll','');
DeleteFile('C:\WINDOWS\system32\fjOWP.dll');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\System32\Drivers\Ekp73.sys');
DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('C:\WINDOWS\system32\drivers\aslm75.sys');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\winservcs32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cb57837832\Parameters','ServiceDll');
DeleteFile('overlapp32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (в нормальном режиме)
Последний раз редактировалось thyrex; 27.11.2009 в 15:21.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Запрошенный карантин прислал. Логи последней проверки прикладываю:
-
Поищите файл C:\WINDOWS\system32\wpv4059.cpx srv или C:\WINDOWS\system32\wpv4059.cpx. Если найдется, пришлите (файл может быть скрытым)
>> Заблокированы настройки системы System Restore
Сами блокировали?
Для разблокирования реестра выполните скрипт в AVZ
Код:
begin
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Новый лог virusinfo_syscheck.zip сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Поищите файл
C:\WINDOWS\system32\wpv4059.cpx srv или
C:\WINDOWS\system32\wpv4059.cpx.
Файлы не найдены.
Насчёт блокировки восстановления системы - не помню, вроде специально не делал. Последний лог:
-
Выполните скрипт в AVZ
Код:
begin
DeleteService('BrowserUPS');
DeleteFile('C:\WINDOWS\system32\wpv4059.cpx srv');
DeleteFile('C:\WINDOWS\system32\wpv4059.cpx');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Блокировку восстановления исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы.
После этого еще раз лог virusinfo_syscheck.zip сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
-
Чисто
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.2 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\fjowp.dll - Trojan.Win32.Agent.dcou ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- f:\autorun.inf - Trojan.Win32.AutoRun.oc ( BitDefender: Trojan.AutorunINF.Gen )
-