-
Junior Member
- Вес репутации
- 53
смс вымогатели
Windows server 2003 - появился смс вымогатель Toget Access, после продолжительной борьбы его удалось победить, но вылез другой смс вымогатель - Download Manager. Для борьбы с ним применил minDrWebLiveCD после чего система перестала запускается в обычном и в безопасном режиме, происходит перезагрузка системы. Помогите востановить!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи LiveCD в этом нисколько не помогут.
1. Вспоминайте, что делали с системой.
2. Через F8 отмените автоматическую перезагрузку при сбое, сообщите код ошибки с "синего экрана".
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
использовал утилиту Kaspersky Virus Removal Too
просканировал в minDrWebLiveCD
найденые зараженные файлыудалил.
Картинка экрана прилагается.
В журнале записаны ошибки:
Ошибка COM "%1084" при запуске службы "EventSystem"
Сбой при загрузке драйверов перезагрузки или запуска системы:
AFD
Fips
IPsec
MRxSmb
NETBios
И дальше перечисляются службы которые зависят от этих служб и не могут загрузиться:
служба IPSEC,
служба DNS-server
центр распространения ключей Kerberos
модуль поддержки NETBios через TCP/IP
служба DNS-клиент
-
Сообщение от
viaheslav
найденые зараженные файлыудалил.
Не было ли случайно среди них atapi.sys?
Проверьте его наличие в папке \Windows\System32\Drivers.
Если отсутствует - восстановите чистый из дистрибутива.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Огромное спасибо! Система вернулась, но появился смс вымогатель Download Master!
-
Он не появился, а просто никуда не исчезал!
Попробуйте сделать логи по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Пофиксите в HiJack
Код:
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
Выполните скрипт в AVZ
Код:
begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\system32\nceena.dll', ''), ',,', ','));
RebootWindows(true);
end.
Компьютер перезагрузится.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Выполните скрипт в AVZ:
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nceena.dll','');
DeleteFile('C:\WINDOWS\system32\nceena.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Если что-то попадет в карантин, пришлите согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=66534).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Спасибо! Всё работает! Прилагаю логи.
-
Выполните еще такой скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mppdji.dll');
ExecuteSysClean;
RebootWindows(true);
end.
В остальном чисто.
I am not young enough to know everything...
-