Поймал "зелёный" ВинЛок

Описание: Любые вопросы касающиеся компьютерной безопасности. Обсуждение антивирусов, фаерволов, а также помощь в лечении компьютера.
Правила раздела: http://pc-forums.ru/topic1880.html
Модератор: Junior

#1 GvosTuk » 16.02.2013, 11:51

Поймал "зелёный" ВинЛок Пароль сказали,но после этого компьютер не воспринемает меня как админа,не показывает раб.стол,не открывает программы.
перейти по ссылке
перейти по ссылке
перейти по ссылке
GvosTuk
Автор темы, Участник форума
Участник форума
Аватара
Возраст: 22
Откуда: карма Сити
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 25
Темы: 4
Зарегистрирован: 03.12.2012
С нами: 4 года

Поймал "зелёный" ВинЛок

 

#2 Горыныч » 16.02.2013, 14:43

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [2IP StartGuard] C:\Program Files\2IPStartGuard\StartGuard.exe
O4 - HKCU\..\Run: [Praetorian] C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\Updater\praetorian.exe
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

-------------
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>> Отключено контекстное меню кнопки Пуск
>> Заблокировано меню Пуск\Выполнить
>> Заблокировано изменение свойств экрана
>> Заблокирован доступ к настройкам принтеров

\\?\c:\documents and settings\admin\РАБОЧИЙ СТОЛ\oemtbv Подозрение на RootKit
------------
Это подсказки
На Вашей перфокарте обнаружен вирусЪ, механiзмЪ будет остановлен.
Ремонтировал компьютер, порвал два бубна.
Правила форума
Правила создания тем
Как сделать скриншот
Горыныч
Главные модераторы
Главные модераторы
Аватара
Возраст: 45
Откуда: Китяж-град
Репутация: 654
Лояльность: 64 (+64/−0)
Сообщения: 5178
Темы: 33
Зарегистрирован: 03.07.2011
С нами: 5 лет 5 месяцев

 

#3 arkalik » 16.02.2013, 15:40

GvosTuk ВЫПОЛНЯЕМ СКРИПТ В AVZ
В AVZ меню Файл -> Выполнить скрипт вставить содержимое окна "Код" ниже и нажать Запустить:
Код: Выделить всё
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0109646.com');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106987.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106985.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106321.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106318.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106317.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106316.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106315.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106314.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106313.exe');
 QuarantineFile('spju.sys','');
 QuarantineFile('\\?\c:\documents and settings\admin\РАБОЧИЙ СТОЛ\oemtbv','');
 QuarantineFile('C:\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\JPJLNE','');
 DeleteFile('spju.sys');
 DeleteFile('\\?\c:\documents and settings\admin\РАБОЧИЙ СТОЛ\oemtbv');
 DeleteFile('C:\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\JPJLNE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(7);
RebootWindows(true);
end.
Компьютер перезагрузится!

После перезагрузки выполните еще один скрипт в AVZ:
Код: Выделить всё
begin
 CreateQurantineArchive(GetAVZDirectory + 'virus.zip');
end.

После скрипта в папке AVZ создается архив virus.zip, созданный архив отправить в почту virus_base@mail.ru.
--------
После скрипта, пишем о новых и старых проблемах.
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2532
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

#4 zix » 16.02.2013, 16:21

Код: Выделить всё
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
Помню эту катастрофу. Как раз ее признаки - нарушение ассоциации, блокировка кнопок.. Очень долго лазил по реестру и выкорчевывал все, что с ней связано, где только упоминалось ее имя.. Победил, но систему искалечил.
Дорогу осилит идущий

Изображение
zix M
Поддержка
Поддержка
Аватара
Возраст: 47
Откуда: Калужская обл
Репутация: 1066
Лояльность: 445 (+446/−1)
Сообщения: 15724
Темы: 146
Зарегистрирован: 17.12.2011
С нами: 4 года 11 месяцев

Поймал "зелёный" ВинЛок

 

#5 GvosTuk » 23.02.2013, 06:28

arkalik Мне кажется вирус остался: Стал медленный интернет,Какие-то непонятные лаги системы...
Проверял антивирусом не чего не находит.
GvosTuk
Автор темы, Участник форума
Участник форума
Аватара
Возраст: 22
Откуда: карма Сити
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 25
Темы: 4
Зарегистрирован: 03.12.2012
С нами: 4 года

#6 zix » 23.02.2013, 06:33

Борьба с Webalta

Добавлено спустя 2 минуты 14 секунд:
Эту заразу антивирусники пропускают, т.к. она по сути не вирус, но по свойствам не хуже...
Дорогу осилит идущий

Изображение
zix M
Поддержка
Поддержка
Аватара
Возраст: 47
Откуда: Калужская обл
Репутация: 1066
Лояльность: 445 (+446/−1)
Сообщения: 15724
Темы: 146
Зарегистрирован: 17.12.2011
С нами: 4 года 11 месяцев

 

#7 GvosTuk » 23.02.2013, 08:36

Всё вычистил этот вирус но проблемы остались
GvosTuk
Автор темы, Участник форума
Участник форума
Аватара
Возраст: 22
Откуда: карма Сити
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 25
Темы: 4
Зарегистрирован: 03.12.2012
С нами: 4 года

#8 arkalik » 23.02.2013, 09:41

GvosTuk Сделайте образ автозапуска uVS: ИНСТРУКЦИЯ ПО БОРЬБЕ С ВИРУСАМИ
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2532
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

Поймал "зелёный" ВинЛок

 

#9 GvosTuk » 23.02.2013, 20:49

GvosTuk
Автор темы, Участник форума
Участник форума
Аватара
Возраст: 22
Откуда: карма Сити
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 25
Темы: 4
Зарегистрирован: 03.12.2012
С нами: 4 года

#10 arkalik » 24.02.2013, 09:17

GvosTuk ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);
Код: Выделить всё
;uVS v3.77.6 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
exec "D:\MALWAREBYTES' ANTI-MALWARE\UNINS000.EXE"
exec C:\PROGRAM FILES\BUG™\MAIL SECRET ANSWER CRACK\UNINSTALL.EXE
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
delref /C
regt 14
deltmp
delnfr
restart
перезагрузка, пишем о старых и новых проблемах.
------------------------
далее, выполните быстрое сканирование в Malwarebytes
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2532
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев


  • Понравилась тема? Поделись с друзьями!

Вернуться в Безопасность компьютера

 


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение