Интернет вымогатель - удалени послдствий

[barbido]

Компьютер был блокирован вымогателем, предлагалось послать сообщение 4612544 на номер 5121. На сайте dr.web нашел код - разблокировал.

Просьба помочь с удалением последствий.

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 ClearHostsFile;
 DeleteFileMask('C:\Documents and Settings\OEM\Local Settings\Temp','*.*',true);
 QuarantineFile('C:\Program Files\plugin.exe','');
 DeleteFile('C:\Program Files\plugin.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip пришлите, используя ссылку прислать запрошенный карантин вверху темы.
Сделайте новые логи

[barbido]

Спасибо! Файл карантин прислал,
новые логи прилагаю

[Никита Соловьев]

Пофиксите в hijackthis:

Код:

O1 - Hosts: 85.12.46.140 odnoklassniki.ru
O1 - Hosts: 85.12.46.140 www.odnoklassniki.ru
O1 - Hosts: 85.12.46.140 vkontakte.ru
O1 - Hosts: 85.12.46.140 www.vkontakte.ru
O1 - Hosts: 85.12.46.140 vk.com
O1 - Hosts: 85.12.46.140 www.vk.com

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\Common Files\EyeLogon\WinSecurity.exe','');
 DeleteFile('C:\Program Files\Common Files\EyeLogon\WinSecurity.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','autoexec');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
quarantine.zip загрузите по ссылке.
Сделайте новые логи

Добавлено через 2 минуты

Файл карантин прислал

Странно, файла нет. Попробуйте еще раз

[barbido]

Спасибо, все выполнил, карантин на этот раз надеюсь прошел.
Логи прилагаю.
Вроде бы все корректно работает.

[Никита Соловьев]

Моя ошибка, не заметил сразу: обновите базы AVZ и повторите логи.
Карантин пришел

[barbido]

Базы обновил, прилагаю новые логи

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SetAVZGuardStatus(true);
 DeleteFileMask('C:\Documents and Settings\OEM\Local Settings\Temp','*.*',true);
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(13);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Повторите лог virusinfo_syscheck.zip

[barbido]

Скрипт выполнил, лог прилагаю.
Заметил, что не открывается сайт одноклассники и в контакте.
Выходит страница о том, что аккаунт был заблокирован за рассылку спама и предлагается разблокировать отправив sms

[DefesT]

Сделайте лог ComboFix

[barbido]

Прилагаю лог Combofix

[thyrex]

Что сейчас с проблемой?

[barbido]

Что сейчас с проблемой?

Оба заблокированных сайта открываются, даже не понял когда это произошло, других проблем нет.

Спасибо всем за помощь!

[thyrex]

Удалите ComboFix

Установите Internet Explorer 8 (даже если им не пользуетесь)

[barbido]

Удалите ComboFix

Установите Internet Explorer 8 (даже если им не пользуетесь)

Все выполнил

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\common files\eyelogon\winsecurity.exe - Trojan.Win32.Qhost.nkq ( DrWEB: Trojan.Hosts.507, BitDefender: Trojan.Generic.4362332, AVAST4: Win32:Rootkit-gen [Rtk] )