смс вымогатели
Windows server 2003 - появился смс вымогатель Toget Access, после продолжительной борьбы его удалось победить, но вылез другой смс вымогатель - Download Manager. Для борьбы с ним применил minDrWebLiveCD после чего система перестала запускается в обычном и в безопасном режиме, происходит перезагрузка системы. Помогите востановить!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Логи LiveCD в этом нисколько не помогут.
1. Вспоминайте, что делали с системой.
2. Через F8 отмените автоматическую перезагрузку при сбое, сообщите код ошибки с "синего экрана".
I am not young enough to know everything...
использовал утилиту Kaspersky Virus Removal Too
просканировал в minDrWebLiveCD
найденые зараженные файлыудалил.
Картинка экрана прилагается.
В журнале записаны ошибки:
Ошибка COM "%1084" при запуске службы "EventSystem"
Сбой при загрузке драйверов перезагрузки или запуска системы:
AFD
Fips
IPsec
MRxSmb
NETBios
И дальше перечисляются службы которые зависят от этих служб и не могут загрузиться:
служба IPSEC,
служба DNS-server
центр распространения ключей Kerberos
модуль поддержки NETBios через TCP/IP
служба DNS-клиент
Не было ли случайно среди них atapi.sys?Сообщение от viaheslav
Проверьте его наличие в папке \Windows\System32\Drivers.
Если отсутствует - восстановите чистый из дистрибутива.
I am not young enough to know everything...
Огромное спасибо! Система вернулась, но появился смс вымогатель Download Master!
Он не появился, а просто никуда не исчезал!
Попробуйте сделать логи по правилам.
I am not young enough to know everything...
логи
Пофиксите в HiJack
Выполните скрипт в AVZКод:O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
Компьютер перезагрузится.Код:begin RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\system32\nceena.dll', ''), ',,', ',')); RebootWindows(true); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\nceena.dll',''); DeleteFile('C:\WINDOWS\system32\nceena.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Если что-то попадет в карантин, пришлите согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=66534).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Спасибо! Всё работает! Прилагаю логи.
Выполните еще такой скрипт:
В остальном чисто.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\mppdji.dll'); ExecuteSysClean; RebootWindows(true); end.
I am not young enough to know everything...
Уважаемый(ая) viaheslav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
