Junior Member
Вес репутации
55
Модификация Trojan-Ransom
Здравстуйте
Поймал недавно вирус. Выходит окно о том стоит нелицензинная ОС Windows и предложением активации по смс. После проверки AVPtool находит множество вирусов, в том чиле модификацию Trojan-Ransom.Win32.Agent.После удаления AVPtool окно изчезло,но есть подозрения что что то осталось.
Логи прилагаю.Заранее благодарен
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
55
Сохраните текст ниже как cleanup.bat в ту же папку, где находится kk4z5ixp.exe (gmer)
Код:
kk4z5ixp.exe -del service puoyi
kk4z5ixp.exe -del service qglrwfgs
kk4z5ixp.exe -del service snfpdiv
kk4z5ixp.exe -del service xnjhwf
kk4z5ixp.exe-del service xrflgclox
kk4z5ixp.exe -del file "C:\WINDOWS\system32\yyoafjwh.dll"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qglrwfgs"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\snfpdiv"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xnjhwf"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xrflgclox"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\puoyi"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qglrwfgs"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\snfpdiv"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xnjhwf"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xrflgclox"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\puoyi"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cyfmu"
kk4z5ixp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cyfmu"
kk4z5ixp.exe -reboot
И запустите cleanup.bat .Компьютер перезагрузится. Сделать новый лог gmer
Junior Member
Вес репутации
55
Junior Member
Вес репутации
55
в avz
нестандартный диспетчер задач "TASKMAN.EXE"
Подмена диспетчера задач
Добавлено через 39 секунд
сервисы удалились
Последний раз редактировалось xZEROx; 18.12.2009 в 15:37 .
Причина: Добавлено
Выполните скрипт в avz
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RebootWindows(true);
end.
ПК перезагрузится.
Junior Member
Вес репутации
55
после перезагрузки тоже самое
Junior Member
Вес репутации
55
Junior Member
Вес репутации
55
Выполните скрипт из сообщения #8.
Junior Member
Вес репутации
55
к сожалению все по прежнему
Попробуйте так
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RebootWindows(true);
Executerepair(6);
Executerepair(9);
RebootWindows(true);
end.
Junior Member
Вес репутации
55
Сделайте комплект логов, будем искать.
ДЛя начала выполните
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\03.tmp','');
DeleteService('nvfbty');
DeleteFile('C:\WINDOWS\system32\03.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Карантин выслал,вот комплект логов