-
Junior Member
- Вес репутации
- 54
Злостный порно баннер
На ПК появился "смс вымогатель", прямо по центру экрана. Если захожу в обычном режиме, то даже не дает запустить ни один интернет браузер. Поэтому проверку проводил в безопасном режиме.(может это я неправильно делал???) При запуске CureIT (доктор веб, свежий) при сканировании находит "C:\Windows\system32\mssfc.dll заражен вирусом Trojan.WinSpy.440" предлагает вылечить, при нажатии лечить ПК появляется синий экран с кучей надписей и при следующем сканировании останавливается на этом же.
Заранее благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\Windows\system32\mssfc.dll','');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
QuarantineFile('C:\Program Files\plugin.exe','');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\Windows\system32\mssfc.dll');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=65669
4. Пофиксите в HijackThis:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe msol.voo rmimgf
O20 - AppInit_DLLs: aserob.dll gssjnf.dll xcdpml.dll
5. Попробуйте сделать логи в обычном режиме.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Отправляю повторно логи, сделанные в обычном режиме. Карантин загрузил. Спасибо Вам большое!!!!!!!!!!
С новым годом Вас! Желаю здоровья, счастья и успехов в новом году!
-
Junior Member
- Вес репутации
- 54
Да, еще забыл написать что не профиксил
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe msol.voo rmimgf
так как его не было в появившемся списке когда я нажал "Do a system scan only"
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Все сделал как Вы сказали, направляю повторно логи.
Только при перезагрузке компа, появился рабочий стол, только без иконок, а потом меня выплюноло из системы, передо мной была надпись "Добро пожаловать", короче полностью загрузиться не смог, только со второго раза когда выключил и снова включил
-
Ничего зловредного в логах не увидела. Что с проблемами?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Да так вроде все проблемы решены. Спасибо огромное!!!!
А с перезагрузкой может просто какой-то глюк случился
-
ntfs_ext7.exe - Trojan-Spy.Win32.Shiz.am (KIS)
Сообщение от
samdurak
А с перезагрузкой может просто какой-то глюк случился
Это после удаления вируса. Сейчас все должно быть нормально.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\plugin.exe - Trojan-Ransom.Win32.PinkBlocker.ax ( BitDefender: Gen:Trojan.Heur.TP.qq0@bmWTE4ni, NOD32: Win32/LockScreen.ET trojan, AVAST4: Win32:Malware-gen )
- c:\program files\plugin.exe - Trojan-Downloader.Win32.Piker.bsw
- c:\windows\system32\netprotocol.dll - Trojan-Downloader.Win32.Piker.bsv ( BitDefender: Gen:Trojan.Heur.TP.dq8@bSHRjOic )
- \\?\globalroot\systemroot\system32\ntfs_ext7.exe - Trojan-Spy.Win32.Shiz.am ( BitDefender: Gen:Trojan.Heur.TP.dq0@bqo6L4ei )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-