последствия смс вымогателя internet security
Подхватил смс вымогатель 4460, с помощью LiveCD и AVP справился. Поставил касперского. Однако некоторые устройства отмечены теперь как неисправные (например мышь - HID, ощибка 41, выключение/включение и удаление/переустановка драйвера не помогают, мышь не работает).
Может что-то отсалось от гада?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:R3 - URLSearchHook: (no name) - - shell32.dll (file missing) F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo xfwfrsh O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\TEMP\~TM29.tmp O4 - HKLM..Run: [NTFS_ext_drv] \?globalrootsystemrootsystem32ntfs_ext7.exe O4 - Startup: siszyd32.exe
В AVZ выполните скрипт:
После перезагрузкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('I:\autorun.inf',''); QuarantineFile('\\',''); QuarantineFile('C:\WINDOWS\TEMP\~TM29.tmp',''); QuarantineFile('C:\WINDOWS\Cursors\size1_i.cur:hQ40UFi4T8C',''); QuarantineFile('C:\Documents and Settings\Andrey.21-076-2\Главное меню\Программы\Автозагрузка\siszyd32.exe',''); DeleteService('srosa'); QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys'); DeleteFile('C:\Documents and Settings\Andrey.21-076-2\Главное меню\Программы\Автозагрузка\siszyd32.exe'); DeleteFile('C:\WINDOWS\Cursors\size1_i.cur:hQ40UFi4T8C'); DeleteFile('C:\WINDOWS\TEMP\~TM29.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32'); DeleteFile('\\'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('srosa'); RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\size1_i.cur:hQ40UFi4T8C', ''), ',,', ',')); BC_Activate; ExecuteRepair(6); ExecuteRepair(16); ExecuteRepair(8); ExecuteWizard('TSW',3,3,true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Далее выполните скрипт:
Сделайте новые логи.Код:var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
ошибки при зыгрузке пропали, загрузка происходит быстрее, но мышь пока мертва.
Спасибо!
В логе ничего вредоносного не обнаружил. Подключите флэшку, включите показ скрытых файлов. Посмотрите что за авторан там I:\autorun.inf. Удалите все подозрительное. На мышку попробуйте драйвера еще раз поставить.
autorun.inf содержал слово autorun и еще пару символов. Удалил все.
мышь включал/выключал, вытаскивал/втыкал, удалял/переустанавливал - без толку.
USB работает, мышь тоже светится.
Буду еще смотреть что с мышью можно сделать.
Спасибо!
ПС: код ошибки hid-мыши - 41.
проблемы с мышью к вирусам отношения не имели.
просто система восстановилась по слишком старым бэкапам реестра - ручками пришлось подправить одно значение в win/system32/config/system.
Всем спасибо! тему можно закрывать)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\temp\~tm29.tmp - Packed.Win32.Tadym.l
Уважаемый(ая) alienless, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
