-
Junior Member
- Вес репутации
- 58
Снова eKAV
Только что вернулся с другого конца города - коллега обращался за помощью. Подцепил вирус. Заехал, посмотреть - оказался sms-вымогатель eKAV, который здесь обсуждается. Сходу я побороть его не смог. Пока только сделал лог virusinfo_syscure.zip, чтобы разобраться дома.
Симптомы такие же, как описаны в теме http://virusinfo.info/showthread.php?t=66162 К сожалению, приведенный в треде скрипт, похоже, мне не подойдет, т.к. там другие названия папок, в которых сидит эта зараза.
Пока у меня есть только файл virusinfo_syscure.zip. Можно ли сделать скрипт только по нему, поскольку c eKAV, как я понял, уже разобрались? К сожалению, два других требуемых файла пока приложить не могу, т.к. это не на моем компьютере. Сделать я их смогу не раньше воскресенья, когда поеду лечить компьютер еще раз.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\SYSFER.DLL','');
QuarantineFile('c:\windows\help\reskit.chm:Q9qRzDoMZEEMx0D8Yxdy:$DATA','');
QuarantineFile('C:\WINDOWS\Help\reskit.chm','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys','');
DeleteService('Nups');
QuarantineFile('C:\WINDOWS\Help\reskit.chm:Q9qRzDoMZEEMx0D8Yxdy','');
DeleteFile('C:\WINDOWS\Help\reskit.chm:Q9qRzDoMZEEMx0D8Yxdy');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('c:\windows\help\reskit.chm:Q9qRzDoMZEEMx0D8Yxdy:$DATA');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Help\reskit.chm:Q9qRzDoMZEEMx0D8Yxdy', ''), ',,', ','));
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скачайте новую версию AVZ 4.32, обновите его базы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Съездил сегодня еще раз. Спасибо, скрипт помог. Сразу же вернулось управление к системе, заработал антивирус. Баннер eKAV больше не появлялся. Из неожиданностей только то, что после отработки скрипта компьютер не перезагрузился. Перегрузил принудительно.
Карантин отослал. Закачал новую версию AVZ, базы обновил. Новые логи прилагаю.
Спасибо.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\semdpx.sys','');
DeleteService('semdpx');
DeleteFile('C:\WINDOWS\system32\semdpx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Извините, но выслать запрошенный карантин, увы, не получится. Дело в том, что перед выполнением скрипта я забыл отключить антивирус. Во время отработки скрипта антивирус активизировался, и до того, как компьютер перезагрузился, видимо, успел порешить файлы в карантине. После перезагрузки компьютера папка карантина оказалась пустой.
Ну, а в целом, компьютер работает нормально. eKAV больше не появляется.
Большое спасибо за помощь.
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe dckp.smo printer
O20 - Winlogon Notify: semdpp - semdpp.dll (file missing)
O21 - SSODL: WebCheck - {BF40CF31-AB5F-0A3F-4CB3-2F0B20FB4D59} - JVM32.DLL (file missing)
Больше ничего плохого.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-