-
Junior Member
- Вес репутации
- 56
Помогите, Internet Security!!!!!!!!!!!!!!!!!!!
Internet Security обнаружил вредоносное ПО на компьютере. "Для продолжения работы и очистки от вирусов и троянов необходимо получить код активации... Отправить СМС с кодом К206015200 на номер 4460". Всё что можно заблокировано
Код подобрали, отпустило, после прогнали Dr.WebCureIt, он нашёл и удалил около 20, winlock.938, но в диспетчере висят непонятные процессы, логи прилагаются.
Последний раз редактировалось yashablack; 26.01.2010 в 20:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 56
можете посмотреть и сказать дальнейшие действия?
-
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\Program Files\Common Files\SkyLogger\svc.dll','');
QuarantineFile('C:\WINDOWS\system32\WlCtrl32.dll','');
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('C:\Documents and Settings\Юлия\Application Data\AdSubscribe\AdSubscribe.dll','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
DeleteService('Ipv63');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ipv63.sys','');
QuarantineFile('c:\windows\system32\userini.exe','');
TerminateProcessByName('c:\windows\system32\userini.exe');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Ipv63.sys');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\Documents and Settings\Юлия\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt32','DLLName');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 56
Выполнены все действия. Логи прилагаю, карантин тоже!
Последний раз редактировалось yashablack; 27.01.2010 в 15:49.
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 56
вот, что дальше?
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
раз чисто, проблем больше нет, спасибо!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\explorer.exe:userini.exe:$data - Packed.Win32.Krap.ai ( DrWEB: Trojan.Spambot.7492, NOD32: Win32/SpamTool.Tedroo.AG trojan, AVAST4: Win32:FakeAlert-GK [Trj] )
- c:\windows\system32\userini.exe - Packed.Win32.Krap.ai ( DrWEB: Trojan.Spambot.7492, NOD32: Win32/SpamTool.Tedroo.AG trojan, AVAST4: Win32:FakeAlert-GK [Trj] )
-