Поймал "зелёный" ВинЛок

[GvosTuk]

Поймал "зелёный" ВинЛок Пароль сказали,но после этого компьютер не воспринемает меня как админа,не показывает раб.стол,не открывает программы.
перейти по ссылке
перейти по ссылке
перейти по ссылке

 

[Горыныч]

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [2IP StartGuard] C:\Program Files\2IPStartGuard\StartGuard.exe
O4 - HKCU\..\Run: [Praetorian] C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\Updater\praetorian.exe
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

-------------
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>> Отключено контекстное меню кнопки Пуск
>> Заблокировано меню Пуск\Выполнить
>> Заблокировано изменение свойств экрана
>> Заблокирован доступ к настройкам принтеров

\\?\c:\documents and settings\admin\РАБОЧИЙ СТОЛ\oemtbv Подозрение на RootKit
------------
Это подсказки

 

[arkalik]

GvosTuk ВЫПОЛНЯЕМ СКРИПТ В AVZ
В AVZ меню Файл -> Выполнить скрипт вставить содержимое окна "Код" ниже и нажать Запустить:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0109646.com');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106987.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106985.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106321.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106318.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106317.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106316.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106315.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106314.exe');
DeleteFile('C:\System Volume Information\_restore{4851B55B-8509-4C84-A878-2911FFE1874B}\RP83\A0106313.exe');
 QuarantineFile('spju.sys','');
 QuarantineFile('\\?\c:\documents and settings\admin\РАБОЧИЙ СТОЛ\oemtbv','');
 QuarantineFile('C:\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\JPJLNE','');
 DeleteFile('spju.sys');
 DeleteFile('\\?\c:\documents and settings\admin\РАБОЧИЙ СТОЛ\oemtbv');
 DeleteFile('C:\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\JPJLNE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(7);
RebootWindows(true);
end.

Компьютер перезагрузится!

После перезагрузки выполните еще один скрипт в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory + 'virus.zip');
end.

После скрипта в папке AVZ создается архив virus.zip, созданный архив отправить в почту virus_base@mail.ru.
--------
После скрипта, пишем о новых и старых проблемах.

 

[zix]

O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

Помню эту катастрофу. Как раз ее признаки - нарушение ассоциации, блокировка кнопок.. Очень долго лазил по реестру и выкорчевывал все, что с ней связано, где только упоминалось ее имя.. Победил, но систему искалечил.

 

[GvosTuk]

arkalik Мне кажется вирус остался: Стал медленный интернет,Какие-то непонятные лаги системы...
Проверял антивирусом не чего не находит.

 

[zix]

Борьба с Webalta

Добавлено спустя 2 минуты 14 секунд:
Эту заразу антивирусники пропускают, т.к. она по сути не вирус, но по свойствам не хуже...

 

[GvosTuk]

Всё вычистил этот вирус но проблемы остались

 

[arkalik]

GvosTuk Сделайте образ автозапуска uVS: ИНСТРУКЦИЯ ПО БОРЬБЕ С ВИРУСАМИ

 

[GvosTuk]

arkalik
Вот:
перейти по ссылке

 

[arkalik]

GvosTuk ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);

;uVS v3.77.6 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
exec "D:\MALWAREBYTES' ANTI-MALWARE\UNINS000.EXE"
exec C:\PROGRAM FILES\BUG™\MAIL SECRET ANSWER CRACK\UNINSTALL.EXE
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
delref /C
regt 14
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------------------
далее, выполните быстрое сканирование в Malwarebytes