Компьютер был блокирован вымогателем, предлагалось послать сообщение 4612544 на номер 5121. На сайте dr.web нашел код - разблокировал.
Просьба помочь с удалением последствий.
Компьютер был блокирован вымогателем, предлагалось послать сообщение 4612544 на номер 5121. На сайте dr.web нашел код - разблокировал.
Просьба помочь с удалением последствий.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); ClearHostsFile; DeleteFileMask('C:\Documents and Settings\OEM\Local Settings\Temp','*.*',true); QuarantineFile('C:\Program Files\plugin.exe',''); DeleteFile('C:\Program Files\plugin.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip пришлите, используя ссылку прислать запрошенный карантин вверху темы.
Сделайте новые логи
Спасибо! Файл карантин прислал,
новые логи прилагаю
Пофиксите в hijackthis:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):Код:O1 - Hosts: 85.12.46.140 odnoklassniki.ru O1 - Hosts: 85.12.46.140 www.odnoklassniki.ru O1 - Hosts: 85.12.46.140 vkontakte.ru O1 - Hosts: 85.12.46.140 www.vkontakte.ru O1 - Hosts: 85.12.46.140 vk.com O1 - Hosts: 85.12.46.140 www.vk.com
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\Common Files\EyeLogon\WinSecurity.exe',''); DeleteFile('C:\Program Files\Common Files\EyeLogon\WinSecurity.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','autoexec'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
quarantine.zip загрузите по ссылке.
Сделайте новые логи
Добавлено через 2 минуты
Странно, файла нет. Попробуйте еще раз
Спасибо, все выполнил, карантин на этот раз надеюсь прошел.
Логи прилагаю.
Вроде бы все корректно работает.
Базы обновил, прилагаю новые логи
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SetAVZGuardStatus(true); DeleteFileMask('C:\Documents and Settings\OEM\Local Settings\Temp','*.*',true); ExecuteWizard('TSW',2,2,true); ExecuteRepair(13); RebootWindows(true); end.
Повторите лог virusinfo_syscheck.zip
Скрипт выполнил, лог прилагаю.
Заметил, что не открывается сайт одноклассники и в контакте.
Выходит страница о том, что аккаунт был заблокирован за рассылку спама и предлагается разблокировать отправив sms
Сделайте лог ComboFix
Прилагаю лог Combofix
Что сейчас с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалите ComboFix
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\eyelogon\winsecurity.exe - Trojan.Win32.Qhost.nkq ( DrWEB: Trojan.Hosts.507, BitDefender: Trojan.Generic.4362332, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) barbido, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.