|
|
|
|
|
poruchik: Автозапуск с внешних носителей отключен, проявил активность при открытии флешки
проводником...
Значит не долечили первый раз. В реестре правили ключ с параметром "оpen" проводника(explorer %1 open или как-то так)? Обычно там через запятую к запуску проводника приписывается и эта гадость. |
|
|
|
Арс: В реестре правили ключ с параметром "оpen" проводника(explorer %1 open или как-то так)?
Да, весь реестр был просмотрен, и исправлен, я просто не знал, что есть его брат  , а
собственно как узнать, что он есть, если имя на самом деле случайное, и антивирус
в упор его не видит ( Symantec). А при подключении камеры Comodo выдал, что просится
csrcs.exe, при этом родителем является tmeaqk.exe |
|
|
|
Я в начале осени с этим вирусом на работе тоже боролся Реестр просматривал не по имени файла вируса, а по потенциально уязвимим местам, поэтому брат был выявлен и уничтожен В данном случае просматривал все ключи, где встречается слово "explorer". Кстати, распространяется он как через автозапуск с дисков, так и прямим взламыванием системы через локальную сеть, использую уязвимость(если заплатки не стоят последние от майкрософта) ещё и по почте рассылает себя. |
|
|
|
Я ещё летом в http://www.pro-radio.ru/computers/2022-3/ описывал, как пришлось с этим вирусом драться. Там был потом комментарий, что не такой уж он и молодой - ему больше года... |
|
|
|
я убрал этот троян с помощью программы http://winlock.orgfree.com/viewtopic.php?f=4&t=32 |
|
|
|
Помогите, троян. А имненно winlock 938. Я его вычистил вэбом, но как терерь воостановить повреждения - не запускается антивирь, и, даже откат нельзя сделать. Пишет, что закрыто администратором. Имейте, пожалуйста, в виду, что уровень компьютерной грамотности низкий. |
|
|
|
ну тогда только востановление из бекапа системы до виря или заново все ставить-вообще ж это типичные последствия |
|
|
|
Папа Карло: Помогите, троян. А имненно winlock 938. Я его вычистил вэбом, но как терерь воостановить повреждения - не запускается антивирь, и, даже откат нельзя сделать. Пишет, что закрыто администратором. Имейте, пожалуйста, в виду, что уровень компьютерной грамотности низкий. Качайте пока программу AVZ (гугл в помощь), я вечером с работы выложу скрипт, который зачищает последствия этого троянчика. |
|
|
|
А мене на работе удалось грохнуть ВинЛок с помощъю ERUNT 0 одним кликом мышки!
Потом, конечно, ДрВеб зачистил территорию, но ДО ТОГО - он даже не запускался... |
|
|
|
Выкладываю скрипт и порядок действий: begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('D:\System Volume Information\_restore{74721975-ABD0-49BB-8466-427CE4B12C24}\RP17\A0002262.exe','');
QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL','');
QuarantineFile('C:\WINDOWS\system32\IoctlSvc.exe','');
QuarantineFile('C:\WINDOWS\TEMP\~TM80D.tmp','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Documents and Settings\yourusername\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\Program Files\WinPcap\rpcapd.exe','');
DeleteFile('C:\Documents and Settings\yourusername\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Internet Security Service');
DeleteFile('C:\WINDOWS\TEMP\~TM80D.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL');
DeleteFile('D:\System Volume Information\_restore{74721975-ABD0-49BB-8466-427CE4B12C24}\RP17\A0002262.exe');
DeleteFileMask('C:\PROGRA~1\Webalta', '*.*', true);
DeleteDirectory('C:\PROGRA~1\Webalta');
DeleteFileMask('D:\System Volume Information', '*.*', true);
DelCLSID('D4C56A33-3488-495B-8033-9BF834E276D8');
DelCLSID('a9ce40c2-b7c7-4ff5-a0cc-c5ce0a9da73a');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end. Порядок действий:
1. Запускаете AVZ
2. Выбираете Файл - Выполнить скрипт
3. Копируете текст скрипта (yourusername заменяете на имя своего пользователя!!!!)
4. Запускаете скрипт После выполнения комп перезагрузится. После перезагрузки в свойствах компьютера выключаете автоматическое восстановление. После любым антивирем прогоняете, удаляя остатки. Я рекомендую KIS или Avira. |
|
|
|
|