Как удалить баннер вымогатель?

[Nikki2]

Здравствуйте, сегодня подцепил баннер вымогатель, попробовал удалить его с помощью программы AntiWinLocker, не получилось, помогла прога AntiSMS, но она как я понял, просто отключила вирус в автозагрузке, так как после включения всей автозагрузки баннер появился снова.
В автозагрузке я его нашёл это qw2jd
Как удалить этот вирус полностью?

Утилита MSConfig показывает путь к вирусу qw2jd как C:\Users\Юра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup, но там его нет, правда на данный момент в MSConfig он выключен.
А нашёл я его в C:\ Windows\pss, и выглядит он как qw2jd.exe.Startup

Можно ли этот вирус удалить вручную, и мог ли он прописаться, где-нибудь ещё, например в реестре? Если да то, как его найти и удалить?


Windows 7 Ultimate x64

 

[zix]

C:\Users\Юра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup, но там его нет

Показ скрытых/защищенных файлов включен?

Можно ли этот вирус удалить вручную,

Можно.

мог ли он прописаться, где-нибудь ещё, например в реестре

Обязательно. Иначе бы не запускался.

как его найти и удалить?

Regedit - и долгое ковыряние в поисках оного.

нашёл я его в C:\ Windows\pss, и выглядит он как qw2jd.exe.Startup

А говорите - нету...
---------------------------------------------



Для автоматизации процесса создайте лог автозапуска в uVs - Создание образа автозапуска в UVS (инструкция)


Тема перенесена в "Безопасность".

 

[arkalik]

Nikki2 Скачайте WinPe&UVS, создайте загрузочный диск или флешку. Передайте образ автозапуска uVS: Инструкция

 

[Nikki2]

Лог автозапуска созданного в uVs прилагаю. Делал из под Windows, не с загрузочного диска. А с загрузочного диска образ автозапуска делать обязательно?

 

[arkalik]

Nikki2 Чисто, я думал у вас баннер висит и вы не можете загрузится.
ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- отключаем антивирус и закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 update.yandex
bl 7FB282509685C53EDF1BE190353913FB 507776
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetorian.yandex
bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304
addsgn 1AE7909A5583358CF42B254E3143FE86C99EAFC552AC940D8D4A9844D98B85C57EEBF8A44B4B7573D97F7BF550481AA92E8CBBFB65328BF1D28827EBD38DE49A 8 yupdate.exec
bl ACD5BE17E67206076F874E3EFF868D82 493952
chklst
delvir
exec MsiExec.exe /X{B1DDC387-5E2C-4CF4-BD8B-05B65E987B0C}
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------------------
далее, выполните быстрое сканирование в Malwarebytes

 

[Nikki2]

А не удалит у меня этот скрипт что ни будь нужное? Программы у меня все пиратские, посчитает их подозрительными и вместе с реальным вирусом удалит?

 

[arkalik]

Nikki2 Нет, такое не будет. Следуйте инструкцию.

 

[Nikki2]

Скрипт в в uVs выполнил, прога что то поудаляла, (к стати где посмотреть что она удалила?), а вирус жив здоров, сидит там же C:\ Windows\pss, в MSConfig отображается и если его там включить, то думаю, опять компьютер заблокирует.

Что это за вирус такой qw2jd.exe, в инете про него почти ни чего нет, AntiWinLocker его ни видит, AntiSMS его тоже не удалила, а может и не увидела, только в автозагрузке отключила. Проверял комп несколькими антивирусниками, ни один, ни чего не нашёл. Что делать дальше?

Я так понял лог автозапуска, который я прилагал, чистый?

 

[Junior]

попробовал удалить его с помощью программы AntiWinLocker

И ничего не написано было? В составе есть простейший файловый менеджер которым по свежим следам можно удалить файлы, главное не прозевать. Путь обычно пишется.

 

[arkalik]

Nikki2 Проверьте файл: перейти по ссылке
+
Добавьте лог MBAM: Получение отчета, выполнение скрипта в программах по лечению
+
Если лог MBAM чистый:
Выполните закрытие уязвимостей в AVZ:
Скопируйте всё содержимое страницы перейти по ссылке в буфер обмена (Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
+
По поводу файла, можно удалить.

 

[Nikki2]

Файл qw2jd.exe проверил, вот что получилось


перейти по ссылке


Что это значит?


Остальное сделаю позже.

 

[Солярис]

Nikki2
Удалять эту дрянь, какие сомнения ?
Скачиваете образ Куреит для записи на диск, записываете его, загружаете комп с этого диска и всё самое тяжёлое и невыкорчёвываемое отлично удаляется .