Возможно что-то осталось после удаления Trojan-Ransom.Win32.PornoAsset.(?)

**Yaka** · 19.06.2011, 14:51

Здравствуйте

Началось всё с смс-блокировщика ( при включении появлялось окно с предложением оплатить штраф 400р, номер точно не запомнил, но похоже был 8-917-811-67-78, такой же как описан здесь: http://virusinfo.info/showthread.php?t=103931 )

Он располагался в
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
также подменил
C:\WINDOWS\system32\userinit.exe и C:\WINDOWS\system32\taskmgr.exe
и прописал себя в ключи ветки
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
'Shell" и "Userinit"

Загрузился с флешки и поправил реестр, файлы переименовал, проверка AVP определила их как Trojan-Ransom.Win32.PornoAsset.(?) (то что было после точки уже к сожалению не помню, файлы удалил и логов не сохранилось)

Такое ощущение что что-то ещё осталось после этого:
система работает медленнее,
при открытии файлов - задержка,
в диспетчере устройств присутствует неизвестное устройство без идентификаторов,
игры вылетают в синий экран с ошибкой page fault in nonpaged area в ati3duag.dll

CureIt и Virus Removal Tool в безопасном режиме ничего не находят.

Помогите пожалуйста. Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.06.2011, 14:51

Уважаемый(ая) Yaka, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Acidorum** · 19.06.2011, 14:58

Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Common Files\msdao23.tlc','');
DeleteFile('C:\Program Files\Common Files\msdao23.tlc');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.