Перейти к содержанию
Правила раздела

sms вымогатель

Sfera

От Sfera
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Sfera Постоялец

Sfera

Опубликовано
Опубликовано

Добрый день!

Познакомилась вчера с вымогателем. Подробности моей суточной борьбы описывать не буду.. Могу сказать только, жуткая вещь. Окно с надписью:Ваш компьютер инфицирован, запомню надолго. Вобщем, своими силами и силами первого программиста справиться с трояном не удалось, сидели с 22.00 до 4 утра. Подумывала уже о переустановке винды, но решила воспользоваться платными услугами Сервис службы. И мне помогли.. аж за 4000 руб. :) Будет мне урок, жадине. "Излечилась" методом ввода кода в окно. После ухода сотрудника Сервис службы дк. Веб нашел еще двух троянов в папке ТЕМР, потом антивирь нашел еще 2 файла. Я забеспокоилась. может и не удалился этот троян совсем, а живет себе до поры до времени? Помогите, пожалуйста ;)

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\TEMP\X5u1jY7D.sys','');
QuarantineFile('c:\windows\system32\skeysrvc.exe','');
DeleteFile('C:\TEMP\X5u1jY7D.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
sasha1381 Новичок

sasha1381

Опубликовано
Опубликовано

Посмотри еще здесь.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

и в UserInit должно только "C:\WINNT\system32\userinit.exe". если в строке "C:\WINNT\system32\userinit.exe" есть еще какой то файлик, то 99% вирусный и смотри где находиться

 

Строгое предупреждение от модератора ТроПа
Уважаемый sasha1381, конечно в строчке C:\WINNT\system32\userinit.exe обязательно должна быть запятая в конце, кроме того, выложены логи от 2-х утилит, которые с вероятностью 99,99% покажут изменение в запуске userinit.exe. На будущее воздержитесь от подобных советов.
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\drivers\hlemu.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

Combofix-uninstall.JPG

 

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZPMStatus(true);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

 

 

Повторите логи.

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
Sfera Постоялец

Sfera

Опубликовано
  • Автор
Опубликовано (изменено)

skeysrvc.exe

 

Вредоносный код в файле не обнаружен.

 

Здравствуйте, уважаемый akoK :). Спасибо,что приняли участие в моей проблеме.

 

Деинсталировать ComboFix не удалось. После ввода в командную строку, выдало ошибку..файл не найден.

Изменено пользователем Sfera
Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
BC_QrFile('C:\WINDOWS\Cursors\up_m.cur');
DeleteFile('C:\WINDOWS\Cursors\up_m.cur');
BC_QrFile('C:\WINDOWS\Cursors\up_m.cur:RVSFFA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

ПК перезагрузится.

 

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделайте логи avz.

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • aptz
      Поймали шифровальщика-вымогателя *.1C-files HELP
      От aptz
      Здравствуйте!
       
      Сеть компании поражена криTDSSKiller.3.1.0.28_28.12.2024_03.11.58_log.rarпто-вирусом. Файлы pdf зашифрованы в *.1C-files. Антивирус заблокирован. Прошу помочь. Архивы с зашифрованными файлами и информацией вируса прилагаю.
      Пароль на архив: 1
       
      Зашифрованные файлы.rar
    • C0c024
      Помощь с программой-вымогателем .elons
      От C0c024
      Меня атаковал вирус-вымогатель .elons, я хочу узнать больше информации об этом вредоносном ПО, поскольку то, что я видел на других форумах, решения не существует.Adición.txt  FRST.txt
    • grobique
      Вирус-вымогатель Grok
      От grobique
      Здравствуйте! Образовалась такая ситуация - имеется машина, на Win7 x64, подключенная к интернету. Из портов были открыты 80, 3389, и несколько иных для различных программ, типа 8000 для радио, 25565 для игры, и всё такое. В один прекрасный момент раздается звук перезагрузки системы, и в итоге имею диск зашифрованных файлов.
      Что имеется в архиве - один зашифрованный .bat файл, так же - его копия до сего происшествия, а так же один аудиофайл, так же в зашифрованном и нормальном виде. Само собой, "записочка" от авторов.
      Так же на другой машине Windows 10 очень огрызается на все исполняемые файлы, которые я копирую с зараженного компьютера, говорит десятка, что Neshta.A.
      Desktop.zip FRST.txt Addition.txt
×
×
  • Создать...