-
Junior Member
- Вес репутации
- 55
И снова порно-СМС
В общем-то стандартный сценарий: полазили по порнушке и "для просмотра видео скачали программу воспроизведения".
КИС 7,0 со свежими на тот момент базами прошляпил это дело.
В безопасном режиме убил и удалил файлы процессов из временной папки, отвечавшие за вывод сообщения с требованием отправить смс.
CureIT нашел некий userlib.dll и удалил. Обновленный КИС также нашел Virut.ce и Smiscer.aw.
Сейчас сообщение не выводится, машинка в инет пока не выходит, хотя пинги идут.
Последний раз редактировалось itch; 19.08.2010 в 15:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HijackThis
Код:
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\das7.tmp
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelSPIByFileName('C:\Documents and Settings\Администратор\Cookies\userlib.dll', false);
QuarantineFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\das7.tmp','');
DeleteFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\das7.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
ExecuteWizard('TSW',3,3,true);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
УдалитеBonjour.
Сделайте новые логи.
-
-
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll');
DelSPIByFileName('C:\Documents and Settings\Администратор\Cookies\userlib.dll', false);
ExecuteRepair(11);
ExecuteSysClean;
ExecuteRepair(14);
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите пункт 2 диагностики
Добавлено через 1 минуту
Сообщение от
itch
"для просмотра видео скачали программу воспроизведения".
Если можете, то прямую ссылку на скачивание этой программы мне в личку дайте.
Последний раз редактировалось light59; 23.11.2009 в 09:25.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
snifer67
Пофиксить в HijackThis.....
Выполните скрипт в avz.....
Пришлите карантин.....
Удалите
Bonjour.
Сделайте новые логи.
Пофиксил. Выполнил. Карантин пустой, т.к. те файлы были удалены или ручками из temp'а или Cureit'ом.
Bonjour не удаляется:
Код:
C:\Documents and Settings\Администратор>sc stop "Bonjour Service"
[SC] OpenService FAILED 1060:
C:\Documents and Settings\Администратор>sc delete "Bonjour Service"
[SC] OpenService FAILED 1060:
После всех манипуляций:
1. Пропала панель с кнопками запущенных приложений (языковая панель осталась на всю ширину панели задач, быстрый запуск - стал выключенным, но включился)
2. КИС не грузится, хотя в диспетчере задач 3(!) процесса avp.exe
Сейчас сделаю новые логи и выложу.
Добавлено через 7 минут
блин, а система то оказывается раком встала половина служб не запустилась
Последний раз редактировалось itch; 23.11.2009 в 12:27.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 55
в общем система конкретно стала тормозить. как я уже говорил, нет панели с кнопками запущенных программ, половина служб не загружается.
вот новые логи.
Последний раз редактировалось itch; 19.08.2010 в 15:19.
-
Junior Member
- Вес репутации
- 55
проблема с панелью задач была связана судя по всему с какой-то ошибкой при запуске службы RPC, из-за нее не стартовали остальные службы и загрузка до рабочего состояния растягивалась минут на 20.
сделал кучу манипуляций бубном в т.ч. твик реестра для поднятия RPC, LSP-Fix, еще что-то (уже не помню) и после chkdsk /f система вроде вернулась на исходную.
господа хелперы, скажите мне, пожалуйста, что система чиста.
спасибо.
-
Junior Member
- Вес репутации
- 55
Сообщение от
light59
подозрительного ничего не вижу.
Тогда можно закрыть тему.
Спасибо.
Уже второй раз этот ноут лечу с помощью вашего проекта.
В следующий раз переставлю на windows 7 ;-)