Столкнулись с этим вымогателем.
Баннер больше чем на четверть экрана.
VRT удалил Bredolab.bke и еще нескролько троянов и вирусов, но баннер не исчез.
Помогите, пожалуйста!
Столкнулись с этим вымогателем.
Баннер больше чем на четверть экрана.
VRT удалил Bredolab.bke и еще нескролько троянов и вирусов, но баннер не исчез.
Помогите, пожалуйста!
1) Пролечитесь от файлового вируса как указано в этой теме: http://virusinfo.info/showthread.php?t=15927
Т.к. у вас в системе обнаружен драйвер Sality (Sector):
2) После выполнения первого пункта:Код:NdisFileServices32 C:\WINDOWS\system32\drivers\olkfo.sys
- Скачайте программу из вложения, запустите и дождитесь окончания работы. Компьютер перезагрузится.
- Удалите файл C:\WINDOWS\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
3) Пофиксите в HijackThis:
4) Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); DeleteService('msupdate'); DeleteService('NdisFileServices32'); QuarantineFile('C:\autorun.exe',''); QuarantineFile('C:\autorun.wsh',''); QuarantineFile('E:\autorun.wsh',''); QuarantineFile('c:\windows\system32\mssrv32.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\olkfo.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys',''); QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\autorun.exe'); DeleteFile('C:\autorun.wsh'); DeleteFile('E:\autorun.wsh'); DeleteFile('c:\windows\system32\mssrv32.exe'); DeleteFile('C:\WINDOWS\system32\drivers\olkfo.sys'); DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconfig.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
5) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
6) Сделайте новые логи.
GHETTO/STREET WORKOUT
При выполнении п.1 проблема - DrWebLiveCD ничего такого не находит. Переходить к выполнению остальных пунктов?
Спасибо.
Это означает что активного заражения нет - остались только остатки (драйвер) - которые удалятся скриптом из пункта 4.При выполнении п.1 проблема - DrWebLiveCD ничего такого не находит. Переходить к выполнению остальных пунктов?
Выполняйте все следующие пункты по порядку.
GHETTO/STREET WORKOUT
Внешних проявлений больше нет.
Карантин закачал.
Логи прикрепляю.
Все ли нормально?
Спасибо огромное!
1) Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); DeleteService('Passthru'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip из папки с AVZ (если архив будет не пустой) закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
3) Сделайте новый лог virusinfo_syscheck.zip + такой лог: http://virusinfo.info/showthread.php?t=53070
GHETTO/STREET WORKOUT
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 18
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) NNsis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.