Как удалить баннер вымогатель?

Описание: Любые вопросы касающиеся компьютерной безопасности. Обсуждение антивирусов, фаерволов, а также помощь в лечении компьютера.
Правила раздела: http://pc-forums.ru/topic1880.html
Модератор: Junior

#1 Nikki2 » 07.11.2013, 23:00

Здравствуйте, сегодня подцепил баннер вымогатель, попробовал удалить его с помощью программы AntiWinLocker, не получилось, помогла прога AntiSMS, но она как я понял, просто отключила вирус в автозагрузке, так как после включения всей автозагрузки баннер появился снова.
В автозагрузке я его нашёл это qw2jd
Как удалить этот вирус полностью?

Утилита MSConfig показывает путь к вирусу qw2jd как C:\Users\Юра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup, но там его нет, правда на данный момент в MSConfig он выключен.
А нашёл я его в C:\ Windows\pss, и выглядит он как qw2jd.exe.Startup

Можно ли этот вирус удалить вручную, и мог ли он прописаться, где-нибудь ещё, например в реестре? Если да то, как его найти и удалить?


Windows 7 Ultimate x64
Последний раз редактировалось Nikki2 08.11.2013, 11:14, всего редактировалось 1 раз.
Nikki2
Автор темы, Новичок форума
Новичок форума
Репутация: 0
Лояльность: 3 (+3/−0)
Сообщения: 7
Темы: 2
Зарегистрирован: 21.03.2013
С нами: 3 года 8 месяцев

Как удалить баннер вымогатель?

 

#2 zix » 07.11.2013, 23:11

Nikki2 писал(а): C:\Users\Юра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup, но там его нет
Показ скрытых/защищенных файлов включен?
Nikki2 писал(а):Можно ли этот вирус удалить вручную,
Можно.
Nikki2 писал(а):мог ли он прописаться, где-нибудь ещё, например в реестре
Обязательно. Иначе бы не запускался.
Nikki2 писал(а):как его найти и удалить?
Regedit - и долгое ковыряние в поисках оного.
Nikki2 писал(а): нашёл я его в C:\ Windows\pss, и выглядит он как qw2jd.exe.Startup
А говорите - нету...
---------------------------------------------



Для автоматизации процесса создайте лог автозапуска в uVs - Создание образа автозапуска в UVS (инструкция)


Тема перенесена в "Безопасность".
Дорогу осилит идущий

Изображение
zix M
Поддержка
Поддержка
Аватара
Возраст: 47
Откуда: Калужская обл
Репутация: 1066
Лояльность: 445 (+446/−1)
Сообщения: 15721
Темы: 146
Зарегистрирован: 17.12.2011
С нами: 4 года 11 месяцев

 

#3 arkalik » 08.11.2013, 07:59

Nikki2 Скачайте WinPe&UVS, создайте загрузочный диск или флешку. Передайте образ автозапуска uVS: Инструкция
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2533
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

#4 Nikki2 » 08.11.2013, 11:28

Лог автозапуска созданного в uVs прилагаю. Делал из под Windows, не с загрузочного диска. А с загрузочного диска образ автозапуска делать обязательно?
Nikki2
Автор темы, Новичок форума
Новичок форума
Репутация: 0
Лояльность: 3 (+3/−0)
Сообщения: 7
Темы: 2
Зарегистрирован: 21.03.2013
С нами: 3 года 8 месяцев

Как удалить баннер вымогатель?

 

  • 1

#5 arkalik » 08.11.2013, 11:43

Nikki2 Чисто, я думал у вас баннер висит и вы не можете загрузится.
ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- отключаем антивирус и закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);
Код: Выделить всё
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 update.yandex
bl 7FB282509685C53EDF1BE190353913FB 507776
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetorian.yandex
bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304
addsgn 1AE7909A5583358CF42B254E3143FE86C99EAFC552AC940D8D4A9844D98B85C57EEBF8A44B4B7573D97F7BF550481AA92E8CBBFB65328BF1D28827EBD38DE49A 8 yupdate.exec
bl ACD5BE17E67206076F874E3EFF868D82 493952
chklst
delvir
exec MsiExec.exe /X{B1DDC387-5E2C-4CF4-BD8B-05B65E987B0C}
deltmp
delnfr
restart
перезагрузка, пишем о старых и новых проблемах.
------------------------
далее, выполните быстрое сканирование в Malwarebytes
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2533
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

#6 Nikki2 » 08.11.2013, 13:40

А не удалит у меня этот скрипт что ни будь нужное? Программы у меня все пиратские, посчитает их подозрительными и вместе с реальным вирусом удалит?
Nikki2
Автор темы, Новичок форума
Новичок форума
Репутация: 0
Лояльность: 3 (+3/−0)
Сообщения: 7
Темы: 2
Зарегистрирован: 21.03.2013
С нами: 3 года 8 месяцев

 

#7 arkalik » 08.11.2013, 13:42

Nikki2 Нет, такое не будет. Следуйте инструкцию.
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2533
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

#8 Nikki2 » 08.11.2013, 15:38

Скрипт в в uVs выполнил, прога что то поудаляла, (к стати где посмотреть что она удалила?), а вирус жив здоров, сидит там же C:\ Windows\pss, в MSConfig отображается и если его там включить, то думаю, опять компьютер заблокирует.

Что это за вирус такой qw2jd.exe, в инете про него почти ни чего нет, AntiWinLocker его ни видит, AntiSMS его тоже не удалила, а может и не увидела, только в автозагрузке отключила. Проверял комп несколькими антивирусниками, ни один, ни чего не нашёл. Что делать дальше?

Я так понял лог автозапуска, который я прилагал, чистый?
Nikki2
Автор темы, Новичок форума
Новичок форума
Репутация: 0
Лояльность: 3 (+3/−0)
Сообщения: 7
Темы: 2
Зарегистрирован: 21.03.2013
С нами: 3 года 8 месяцев

Как удалить баннер вымогатель?

 

#9 Junior » 08.11.2013, 15:45

Nikki2 писал(а):попробовал удалить его с помощью программы AntiWinLocker
И ничего не написано было? В составе есть простейший файловый менеджер которым по свежим следам можно удалить файлы, главное не прозевать. Путь обычно пишется.
Родители! Оградите своих детей от интернета! Интернет от них тупеет! :crazy:
DrWeb, халява на три месяца - перейти по ссылке
Junior M
Главные модераторы
Главные модераторы
Аватара
Откуда: Из страны пионЭров с отверткой.
Репутация: 1162
Лояльность: 3 (+186/−183)
Сообщения: 16635
Темы: 33
Зарегистрирован: 23.02.2012
С нами: 4 года 9 месяцев

  • 1

#10 arkalik » 08.11.2013, 15:48

Nikki2 Проверьте файл: перейти по ссылке
+
Добавьте лог MBAM: Получение отчета, выполнение скрипта в программах по лечению
+
Если лог MBAM чистый:
Выполните закрытие уязвимостей в AVZ:
Скопируйте всё содержимое страницы перейти по ссылке в буфер обмена (Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
+
По поводу файла, можно удалить.
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2533
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

#11 Nikki2 » 08.11.2013, 19:58

Файл qw2jd.exe проверил, вот что получилось


перейти по ссылке


Что это значит?


Остальное сделаю позже.
Nikki2
Автор темы, Новичок форума
Новичок форума
Репутация: 0
Лояльность: 3 (+3/−0)
Сообщения: 7
Темы: 2
Зарегистрирован: 21.03.2013
С нами: 3 года 8 месяцев

  • 1

#12 Солярис » 08.11.2013, 21:01

Nikki2
Удалять эту дрянь, какие сомнения ?
Скачиваете образ Куреит для записи на диск, записываете его, загружаете комп с этого диска и всё самое тяжёлое и невыкорчёвываемое отлично удаляется .
Более двадцати лет на Россию никто не нападал, но войны шли одна за другой, последняя-нынешняя - самая подлая и кровавая. Русский мир...
Солярис
Старший Советник
Старший Советник
Аватара
Репутация: 544
Лояльность: 202 (+218/−16)
Сообщения: 4277
Темы: 23
Зарегистрирован: 14.11.2011
С нами: 5 лет


  • Понравилась тема? Поделись с друзьями!

Вернуться в Безопасность компьютера

 


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение

Кто сейчас на форуме (по активности за 20 минут)

Сейчас этот раздел просматривают: 1 гость