File Downloader

[NNsis]

Столкнулись с этим вымогателем.
Баннер больше чем на четверть экрана.
VRT удалил Bredolab.bke и еще нескролько троянов и вирусов, но баннер не исчез.
Помогите, пожалуйста!

[Ingener]

1) Пролечитесь от файлового вируса как указано в этой теме: http://virusinfo.info/showthread.php?t=15927
Т.к. у вас в системе обнаружен драйвер Sality (Sector):

Код:

NdisFileServices32
C:\WINDOWS\system32\drivers\olkfo.sys

2) После выполнения первого пункта:
- Скачайте программу из вложения, запустите и дождитесь окончания работы. Компьютер перезагрузится.
- Удалите файл C:\WINDOWS\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
3) Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe

4) Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 DeleteService('msupdate');
 DeleteService('NdisFileServices32');
 QuarantineFile('C:\autorun.exe','');
 QuarantineFile('C:\autorun.wsh','');
 QuarantineFile('E:\autorun.wsh','');
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\olkfo.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys','');
 QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\autorun.exe');
 DeleteFile('C:\autorun.wsh');
 DeleteFile('E:\autorun.wsh');
 DeleteFile('c:\windows\system32\mssrv32.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\olkfo.sys');
 DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
5) Затем выполните второй скрипт в AVZ:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
6) Сделайте новые логи.

[NNsis]

При выполнении п.1 проблема - DrWebLiveCD ничего такого не находит. Переходить к выполнению остальных пунктов?
Спасибо.

[Ingener]

При выполнении п.1 проблема - DrWebLiveCD ничего такого не находит. Переходить к выполнению остальных пунктов?

Это означает что активного заражения нет - остались только остатки (драйвер) - которые удалятся скриптом из пункта 4.

Выполняйте все следующие пункты по порядку.

[NNsis]

Внешних проявлений больше нет.
Карантин закачал.
Логи прикрепляю.
Все ли нормально?
Спасибо огромное!

[Ingener]

1) Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 DeleteService('Passthru');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с AVZ (если архив будет не пустой) закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Сделайте новый лог virusinfo_syscheck.zip + такой лог: http://virusinfo.info/showthread.php?t=53070

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 18
• В ходе лечения вредоносные программы в карантинах не обнаружены