Решена - Вирус вымогатель Win32/LockScreen.AQE троян, как удалить?

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем zmiulan, 7 авг 2014.

  1. zmiulan

    zmiulan Junior User

    На ноут словили вирус-вымогатель. Меня как главного IT-шника семьи попросили "починить":)

    Что было сделано:
    1. Попытка запуска в безопасном режиме (для сканирования AVZ) - безрезультатно
    2. Попытка загрузки Live CD - без результатно
    3. Вынул жеский диск из ноута, подключил к стационарному ПК, сканировал
    а) NOD32 - ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KSOLXNUK\6[1].exe Win32/LockScreen.AQE троянская программа очищен удалением - изолирован
    б) AVZ - ничего

    * воспользоваться Kaspersky Deblocker Mobile в голову не пришло.

    Прошу проверить "остатки заразы".

    Логи:
    образ автозапуска - http://rghost.ru/57344279
    логи HiJackThis - http://rghost.ru/57344308
    логи AVZ - http://rghost.ru/57344340

    P.S. Ноутом пользовался неопытный "юзер", система грязная (возможно), буду признателен если отнесетесь с пониманием:)

    [mod="Nod"]
    Внимание посетителям форума!

    Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).

    Если вы обнаружили следующие признаки:

    (Вирус вымогатель Win32/LockScreen.AQE троян)

    1. Сделайте Логи как показано в -
    2. Создайте тему в разделе по борьбе с вирусами, с полным описанием проблемы и ссылками на Образ автозапуска в uVS и на логи утилит AVZ, HiJackThis. (virusinfo_syscure.zip, hijackthis.log).

    После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.

    [/mod]
     
  2. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Доброго времени суток!

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.83 BETA 13 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    
    delall %SystemDrive%\USERS\ACER\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\KSOLXNUK\6[1].EXE
    delall D:\DJAVOLE///DAVNOSU.EXE
    delall D:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\AUTORUNME.EXE
    delref HTTP://WEBALTA.RU
    delref HTTP://WEBALTA.RU/POISK
    delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
    exec "C:\PROGRAM FILES\WINAMP\EMUSIC\UNINST-EMUSIC-PROMOTION.EXE"
    exec "C:\PROGRAM FILES\WINAMP TOOLBAR\UNINSTALL.EXE"
    regt 1
    regt 2
    regt 3
    regt 16
    regt 18
    deltmp
    delnfr
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    2. Cделайте лог MBAM (подробнее) и
    дайте ссылку на файл лога.*выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.
     
  3. zmiulan

    zmiulan Junior User

    Сделал.
    Удалил предложенное, на все запросы отвечал "да"
    После этого открылось 3 окна Internet Explorer, ожидаемого перезапуска системы не произошло.
    Перезагрузил вручную.
    Остальное - по инструкции
    Лог-файл
    http://rghost.ru/private/57362793/27ac2787f8fa1c23f1198e547959c8d1
     
  4. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Удалить все записи в программе.

    Что с проблемой?
     
  5. zmiulan

    zmiulan Junior User

    Вроде все работает, повторный скан ничего не нашел.
    Спасибо!
     
  6. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

Поделиться этой страницей