-
Junior Member
- Вес репутации
- 53
Баннер 3381
Добрый вечер!
Подцепил сабж. При попытке запуска AVZ комп выключается.
Удалил кучу файлов с рандомными именами без иконок из system32 и файл system.exe из all users. Также пофиксил жуткий параметр, начинавшийся с R3. Все эти действия практически ничего не изменили. Осталось ещё много подозрительных с О4, прошу посмотреть.
Точное содержимое параметра Applnt_DLLs:
C:\WINDOWS\system32\npdx.dll
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Из-под LiveCD:
1. Переименуйте C:\WINDOWS\system32\npdx.dll
2. Очистите значение параметра Applnt_DLLs
3. Перезагрузитесь и пробуйте загрузиться в обычном режиме.
Если баннер пропал, делайте логи в полном объеме + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
c:\windows\system32\msgsvc.dll проверьте на virustotal
Ссылку на результат проверки сообщите
Файл, который переименовывали, запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\he.dll
c:\windows\system32\pazw.dll
c:\windows\system32\qziiff.dll
c:\windows\system32\reqyaa.dll
c:\windows\system32\fjtl.dll
c:\windows\system32\gy.dll
c:\windows\system32\cqpcjwjn.dll
c:\windows\system32\yddy.dll
c:\windows\system32\qwe.dll
c:\windows\system32\eij.dll
c:\windows\system32\otkgm.dll
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\inf\scsi.inf:q8c0R4ShLXO6mB:$DATA','');
DeleteFile('C:\WINDOWS\inf\scsi.inf:q8c0R4ShLXO6mB:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
К сожалению, проверить файл не получилось, и он уже исправлен combofix. Карантины выслал. После перезагрузки включился Symantec и поместил в карантин файл vdqwodiy.sys из папки drivers. Собственно, компьютер, похоже, полностью восстановил работоспособность.
-
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\System Volume Information\_restore{B21C9EBA-BFBC-4546-B3F5-7C60D141E169}\RP1\A0000249.inf:q8c0R4ShLXO6mB:$DATA');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Может, лучше всё-таки отправить карантин по форме форума? У меня ящики на mail.ru и на nextmail.ru, на оба письмо возвращается, так как во вложении содержатся вирусы.
-
Сообщение от
dcvf
Может, лучше всё-таки отправить карантин по форме форума?
Выложите на файлообменник, а ссылку пришлите мне на e-mail
Чисто
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\inf\scsi.inf:q8c0r4shlxo6mb:$data - Trojan-Ransom.Win32.XBlocker.acx ( DrWEB: Trojan.AdultBan.25, AVAST4: Win32:Rootkit-gen [Rtk] )
- \qwe.dll - Trojan-Ransom.Win32.XBlocker.acx ( DrWEB: Trojan.AdultBan.25, AVAST4: Win32:Rootkit-gen [Rtk] )
-