-
Junior Member
- Вес репутации
- 53
ПО File Downloader
Вымогатель "ПО File Downloader".
Просмотрев темы по этому вирусу в разделе "Помогите!", попробовал запустить утилиту из архива get2.zip, скопировал файл swenum.sys, как предложили специалисты.
Баннер исчез, но тормозит комп, интернет появился, но очень сильно тормозит. В процессах один из svchost постоянно жрет CPU 90-100 %.
Помогите, пожалуйста.
PS После выполнения скриптов на AVZ с тормозами стало как-то полегче, но в целом все то же (svchost жрет проц).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\MaN\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\MaN\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт, svchost перестал грузить систему, спасибо.
Gmer нашел какие-то руткиты, все логи прикреплены.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rmbqk.dll','');
DeleteFile('C:\WINDOWS\system32\rmbqk.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\jbuvf');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\jbuvf');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\jbuvf');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\jbuvf');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\jbuvf\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\jbuvf\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\jbuvf\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\jbuvf\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\jbuvf');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Services\jbuvf');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\jbuvf');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\jbuvf');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\onughw');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\onughw');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\onughw');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\onughw');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\onughw\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\onughw\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\onughw\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\onughw\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\onughw');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Services\onughw');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\onughw');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\onughw');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\F-Secure Gatekeeper','EventMessageFile');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнил, вроде теперь все ок.
Вот лог:
-
В логе чисто. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Да, все отлично, большое спасибо.
Не подскажите, в чем причина заражения, как его избежать? У меня постоянно обновляется NOD32 4, использую Firefox (может он виноват?). Или проблема в дыре в ОС (Windows XP SP2)?
-
Сообщение от
Yaugen
Windows XP SP2
Да, ставьте SP3 и последующие обновления.
Хотя и это не панацея.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\man\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.blg ( DrWEB: Trojan.Botnetlog.108, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan )
-