-
Junior Member
- Вес репутации
- 56
Помогите пожалуйста полечиться от вымогателя
Несколько дней назад словил одну из модификаций вируса-вымогателя.
На экране светилась табличка с требованием отправить смс на номер, для разблокировки. Прочитав Вашу статью про вымогателей выяснили кто хозяин короткого номера, позвонили им, они выслали код разблокировки. сейчас вроде бы все нормально, но понятно что до конца зловред не исчез. помогите пожалуйста очиститься.
Заранее спасибо.
P.S. AVZ отправила в карантин файл из папки \program files\BitAccelerator
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('H:\WINDOWS\kcfrbc.dll','');
QuarantineFile('H:\WINDOWS\System32\kcfrbc.dll','');
QuarantineFile('‘|x[к‘|Д_.exe','');
DeleteFile('‘|x[к‘|Д_.exe');
DeleteFile('H:\WINDOWS\kcfrbc.dll');
DeleteFile('H:\WINDOWS\System32\kcfrbc.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
DeleteFile('H:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFileMask('H:\Program Files\BitAccelerator', '*.*', true);
DelCLSID('92860A02-4D69-48c1-82D7-EF6B2C609502');
ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксите Hijackthis (если останется)
Код:
O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘|x[к‘|Д_
O20 - AppInit_DLLs: kcfrbc.dll
Закачайте карантин по красной ссылке вверху. Повторите логи
-
-
Junior Member
- Вес репутации
- 56
при попытке запустить скрипт выскакивает: ошибка "J" expecled в позиции 6:17
-
Поправил, выполняйте
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('H:\WINDOWS\kcfrbc.dll','');
QuarantineFile('H:\WINDOWS\System32\kcfrbc.dll','');
DeleteFile('H:\WINDOWS\kcfrbc.dll');
DeleteFile('H:\WINDOWS\System32\kcfrbc.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
DeleteFile('H:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFileMask('H:\Program Files\BitAccelerator', '*.*', true);
DelCLSID('92860A02-4D69-48c1-82D7-EF6B2C609502');
ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-