Trojan:Win32/Vundo.QA как вылечить?

[juristy]

помогите вылечить Trojan:Win32/Vundo.QA? Не знаю это одно и тоже, но изначально при загрузке Win 7 синее окно на рабочем столе, о том что компьютер заблакирован из-за порнографии, для того что бы разблокировать необходимо отправить 1000 рублей на телефон и ввести полученный код! ксожалению не сумел сделать скрин или записать все на бумажку! После этого окна вышел помощник виндовс, о том что есть Trojan:Win32/Vundo.QA и его необходимо удалить! Выбираю удалить с перезагрузкой однако окно опять выходить! помогите! на компьютере установлен Nod32

[ispolin]

juristy, выполнить правила

[juristy]

Цитата: Сообщение от ispolin juristy, выполнить правила __________________

выложить логи? как это сделать!?

[Alex_Goodwin]

juristy,
Здравствуйте!

Закройте все программы

Отключите

- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\Users\Администратор\AppData\Roaming\taskhost.exe');
 BC_DeleteFile('C:\Users\Администратор\AppData\Roaming\taskhost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После этого - новый лог АВЗ по правилам.

[regist]

+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

[juristy]

выполнил предлагаемый скрипт! всеравно что то находит! что делать?

[juristy]

еще один лог

[juristy]

Цитата: Сообщение от regist + Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

не получается отписаться в той теме так как
"juristy, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чьё-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключён администрацией или ожидает активации."

Добавлено через 1 минуту
Результат загрузки
Файл сохранён как 120712_150313_virusinfo_files_JURISTY-HP_4ffee73149e97.zip
Размер файла 60490202
MD5 f7a56f56ee4af8d05146028bba8393a9

Файл закачан, спасибо!

Добавлено через 3 минуты
Alex_Goodwin, что делать дальше!? судя по логам что то есть

[regist]

Здравствуйте!

Закройте все программы

Отключите

- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\taskhost.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{2B7AA447-7CD4-0CE3-9098-438E1B5466F0}-taskhost.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{10EBF79C-8C1A-6753-1CAD-4F6CB4542A40}-taskhost.exe','');
 DeleteFile('C:\Users\Администратор\appdata\roaming\taskhost.exe');
 DeleteFile('C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{10EBF79C-8C1A-6753-1CAD-4F6CB4542A40}-taskhost.exe');
 DeleteFile('C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{2B7AA447-7CD4-0CE3-9098-438E1B5466F0}-taskhost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteSysClean;
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


- Файл quarantine.zip из папки AVZ пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Сделайте лог полного сканирования МВАМ

[juristy]

Цитата: Сообщение от regist Сделайте лог полного сканирования МВАМ

что это и как сделать?

[regist]

там ссылка, выделил её жирным. но до этого выполните предыдущие рекомендации.

[juristy]

логи после последнего скрипта! файл выслал на вышеуказанную почту

[juristy]

Цитата: Сообщение от regist Сделайте лог полного сканирования МВАМ

лог MBAM

[juristy]

скажите я теперь здоров?

[regist]

У вас установлены нод, виндус дефендер и троян ремувер

рекомендую оставить только один антивирус (в частности удалить троян ремувер и отключить дефендер).

+ Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

+ деинсталлируете MBAM.