-
Junior Member
- Вес репутации
- 53
Подозрение на iMAX Downloader Master
Добрый день!
Помогите, пожалуйста, избавиться от заразы.
29 декабря на экран компьютера вылезло окно с требованием оплатить через SMS работу программы Download Master, заблокировало весь компьютер и антивирусники. Из безопасного режима заработал только Malwarebytes`s Anti-Malware, но все вирусы удались не смог. При любой попытке загрузить или установить какую-либо программу или антивирус, либо вылезало окно, либо прерывалась установка. Все попытки проводились из безопасного режима, так как в нормальном даже открыть что-либо не представлялось возможным. В итоге поставил на другой винч новую систему и произвел проверку AVT Tool с нее, вычистил из папок Temp в Windows и Document and Settings кучу каких-то dll и исполнительных файлов. После проверки окно с экрана исчезло, но некоторые из программ (в частности Malwarebytes`s Anti-Malware) в обычном режиме отказывается запускаться, Dr. Web не может обновлять базы, пишет о критической ошибке). Произвел проверку AVZ и Hijack, высылаю логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HijackThis
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\dfrfzt.dll
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dfrfzt.dll');
QuarantineFile('C:\WINDOWS\system32\dfrfzt.dll','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Высылаю карантин и новые логи
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tftolkdu');
DeleteService('roihty');
DeleteService('qgacrdht');
DeleteFile('C:\WINDOWS\System32\drivers\dalqwjj.sys');
DeleteFile('C:\WINDOWS\System32\drivers\mgqr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\eyxgtla.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить
-
-
Junior Member
- Вес репутации
- 53
Все сделал, но антивирусники по-прежнему заблокированы (пишут что это сделано из-за политики ограничения программного обеспечения), а DR. Web выдает сообщение о критической ошибке и не хочет обновляться.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Malwarebytes`s Anti-Malware уже стояла, в обычном режиме не хочет запускаться, ругается на ограничение правил политики програмного обеспечения.
Доступ к C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe был ограничен Администратором по расположению правилом политики {a1d62b88-af9e-420a-b006-a2907fe1adc4}, расположенной в C:\Program Files\Malwarebytes' Anti-Malware
При переустановке продолжает ругаться тоже. Пробовал переименовывать файл, программа ставится, но на финальной стадии запускаться отказывается. Запускал из безопасного режима, нашел какие-то вирусы, но не на системном диске. Лог высылаю.
До того, как делал скрипт в AVZ, находил Malwarebytes`s Anti-Malware вирус в реестре в строке:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\disableconfig (Windows.Tool.Disabled)
Сейчас больше на это не ругается.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-