Добрый день! Помогите, пожалуйста, одолеть троянов. При запуске IE все страницы подменяются порнорекламой, DrWeb ругается на файлы в ...\system32\drivers и на зараженный файл BAT.
Добрый день! Помогите, пожалуйста, одолеть троянов. При запуске IE все страницы подменяются порнорекламой, DrWeb ругается на файлы в ...\system32\drivers и на зараженный файл BAT.
Последний раз редактировалось Склеротик; 13.06.2011 в 21:26.
Прошу прощения, давно не отсылал логи. Исправил запрос.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}'); QuarantineFile('C:\WINDOWS\system32\mmmgfngf.dll',''); QuarantineFile('C:\WINDOWS\system32\digiwet.dll',''); QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll',''); DeleteService('amd64si'); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); DeleteService('securentm'); DeleteService('port135sik'); DeleteService('nicsk32'); DeleteService('netsik'); DeleteService('ksi32sk'); DeleteService('i386si'); DeleteService('ati64si'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll',''); QuarantineFile('c:\documents and settings\Пользователь\Пользователь.exe',''); TerminateProcessByName('c:\documents and settings\Пользователь\Пользователь.exe'); QuarantineFile('c:\windows\services.exe',''); TerminateProcessByName('c:\windows\services.exe'); DeleteFile('c:\windows\services.exe'); DeleteFile('c:\documents and settings\Пользователь\Пользователь.exe'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll'); DeleteFile('C:\WINDOWS\system32\digiwet.dll'); DeleteFile('C:\WINDOWS\system32\mmmgfngf.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин выслал, логи повторил.
Последний раз редактировалось Склеротик; 13.06.2011 в 21:25.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmjdcrs.dll
Повторите пункт 2 диагностики...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('systemntmi'); DeleteService('fips32cup'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\mmmjdcrs.dll'); DeleteFile('digiwet.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('systemntmi'); BC_DeleteSvc('fips32cup'); BC_Activate; RebootWindows(true); end.
Все выполнил. Лог высылаю.
Последний раз редактировалось Склеротик; 13.06.2011 в 21:25.
В логах чисто...
Большое спасибо! Ваша оперативность просто поражает!
Жаль, не знаю, как на сайте Ваш рейтинг приподнять можно!
Я не первый раз уже обращаюсь за помощью - и всегда получаю стабильный результат - еще раз спасибо!
Нажимать "Спасибо" или весы около ника...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\application data\microsoft\media player\sowwrqu.dll - Trojan-Ransom.Win32.Hexzone.aij
- c:\documents and settings\пользователь\пользователь.exe - Trojan.Win32.Agent.byzg
- c:\program files\common files\microsoft shared\web folders\uqrwwos.dll - Trojan-Ransom.Win32.Hexzone.aij
- c:\windows\services.exe - Trojan.Win32.Agent2.haa ( DrWEB: Trojan.Spambot.3531 )
- c:\windows\system32\digiwet.dll - Backdoor.Win32.Zdoogu.bo
Уважаемый(ая) Склеротик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.