Добрый вечер. На одном из компьютеров появилась гадость, блокирующая работу всего, что только можно. для разблокировки просит смс с текстом M21720009 на номер 8353. смог сделать только лог хайджека. остальное запустить не удалось (даже в safe mode).
Добрый вечер. На одном из компьютеров появилась гадость, блокирующая работу всего, что только можно. для разблокировки просит смс с текстом M21720009 на номер 8353. смог сделать только лог хайджека. остальное запустить не удалось (даже в safe mode).
Пофиксите:
Немедленно перезагрузитесь и делайте логи по правилам.Код:O20 - AppInit_DLLs: C:\WINNT\system32\jqd.dll
О20 пробывал фиксить, при перезагрузке все то же самое как-будто что-то еще запускает этот банер. Причем даже если пофиксить эту строку, и сделать рескан она опять появится, но dll будет другая (тоже случайный набор букв).
А если пофиксить в безопасном режиме?
так только в безопасном и получается что либо сделать. Да и после фикса пробывал перегружаться как в боевой, так и безопасный режим - результат одинаков.
Тогда, боюсь, только Live CD или диск к другой машине цеплять.
В безопасном режиме попробуйте почистить файлы во всех временных папках (Temp, Temporary Internet File) Потом пробуйте фиксить, делать логи.
переименовал файл из O20. Система загрузилась, снял логи. жду дальнейших указаний.
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('K:\autorun.inf',''); QuarantineFile('c:\winnt\system32\winagent.exe',''); QuarantineFile('C:\WINNT\services.exe',''); DeleteService('ethjyzvj'); DeleteFile('C:\WINNT\system32\drivers\ethjyzvj.sys'); DeleteFile('c:\winnt\system32\winagent.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','Microsoft Internet Agent'); DeleteFile('K:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); ExecuteRepair(11); ExecuteRepair(17); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Результат загрузкиФайл сохранён как 091203_174609_virus_4b17cf31ac715.zip
Размер файла 5183334
MD5 8b829a8918896b9c5550431a2772c06d
Файл закачан, спасибо!
далее новые логи
Выполните скрипт
Компьютер перезагрузитсяКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\system32\drivers\ywkqnrqs.sys',''); DeleteService('ywkqnrqs'); QuarantineFile('C:\WINNT\services.exe',''); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL',''); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('C:\WINNT\services.exe'); DeleteFile('C:\WINNT\system32\drivers\ywkqnrqs.sys'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(1); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\winnt\system32\winagent.exe - Backdoor.Win32.Buterat.au ( AVAST4: Win32:Spyware-gen [Spy] )
- k:\autorun.inf - Trojan.Win32.AutoRun.oc ( BitDefender: Trojan.AutorunINF.Gen )
Уважаемый(ая) IFomin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.