Вирус, рассылающий ссылки через скайп [Trojan-Dropper.Win32.Dorifel.yom, Trojan.Win32.Jorik.IRCbot.wla
]
Мамин комп поймал вирус, рассылающий ссылку с текстом "Посмотри на эту картинку ..." через скайп. При этом на диске C в папке "Documents and Settings" мелькает иконка горного пейзажа, имя файла "ffonzlya". Скачала и пролечила утилитой DrWeb, спам через скайп рассылаться перестал, но скайп при включении запрашивал файлы, удаленные при лечении и не запускался, приходилось в настройках удалять запрос и перезапускать скайп.
После выполнения исследования системы скайп запрашивать удаленное перестал, но файл в "Documents and Settings" продолжает мелькать. В нижней части окна написано, что в папке 8 нормальных объектов и 10 скрытых. Что это может быть?
Заранее благодарю за помощь!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Nadya Krasineva, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
TerminateProcessByName('c:\documents and settings\dina1\6438640620394286720310355\winsvc.exe');
QuarantineFile('C:\Documents and Settings\dina1\Главное меню\Программы\Автозагрузка\bezeq012.lnk','');
QuarantineFile('C:\Documents and Settings\dina1\ffonzlya.exe','');
QuarantineFile('C:\Documents and Settings\dina1\6438640620394286720310355\winsvc.exe','');
QuarantineFile('C:\DOCUME~1\dina1\0016~1\IMG054~1.SCR','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiuwyay.scr','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiuwyay.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','19856');
DeleteFile('C:\Documents and Settings\dina1\6438640620394286720310355\winsvc.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Service');
DeleteFile('C:\Documents and Settings\dina1\ffonzlya.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\Documents and Settings\dina1\Главное меню\Программы\Автозагрузка\bezeq012.lnk');
DeleteFileMask('C:\Documents and Settings\dina1\6438640620394286720310355','*',true);
DeleteDirectory('C:\Documents and Settings\dina1\6438640620394286720310355');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,false);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________ > как выполнить скрипт в AVZ
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiuwyay.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','19856');
DeleteFile('C:\DOCUME~1\dina1\0016~1\IMG054~1.SCR');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер будет перезагружен.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________ > как выполнить скрипт в AVZ
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\dina1\Application Data\f4f4f4f4f.txt','');
QuarantineFile('C:\Documents and Settings\dina1\Application Data\1db44b5.exe','');
QuarantineFile('C:\Documents and Settings\dina1\Application Data\nMNtfaARw2l97e30p5ev.exe','');
QuarantineFile('C:\Documents and Settings\dina1\Application Data\jan24.exe','');
QuarantineFile('C:\Documents and Settings\dina1\Application Data\nMNtffsdf5ev.exe','');
QuarantineFile('C:\Documents and Settings\dina1\Application Data\winsvcns.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
DeleteFile('C:\Documents and Settings\dina1\Application Data\f4f4f4f4f.txt');
DeleteFile('C:\Documents and Settings\dina1\Application Data\1db44b5.exe');
DeleteFile('C:\Documents and Settings\dina1\Application Data\jan24.exe');
DeleteFile('C:\Documents and Settings\dina1\Application Data\nMNtfaARw2l97e30p5ev.exe');
DeleteFile('C:\Documents and Settings\dina1\Application Data\nMNtffsdf5ev.exe');
DeleteFile('C:\Documents and Settings\dina1\Application Data\winsvcns.sys');
DeleteFile('C:\WINDOWS\system32\drivers\81744307.sys');
DeleteFile('C:\WINDOWS\system32\drivers\61781745.sys');
DeleteFile('C:\WINDOWS\system32\drivers\64773990.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и RSIT.
_________________ > как выполнить скрипт в AVZ
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: