-
Возвращение -= The Porn Collection =-
Добрый день!
Не прошло и трех дней как каталог -= The Porn Collection =- вернулся на все общие сетевые ресурсы. Утром бухгалтер пожаловался на странную работу компьютера. Проверил... жуть, просто. Сам ничего предпринимать не стал. Вот логи. Карантин выслал.
Последний раз редактировалось K.A.I; 17.11.2009 в 19:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe
O20 - AppInit_DLLs: systool16b.dll,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\rxcnnk.pif','');
QuarantineFile('E:\hlau.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\gqnmng.sys','');
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\srv32.exe','');
DeleteService('Srv32');
TerminateProcessByName('c:\windows\system32\riodrv.exe');
QuarantineFile('c:\windows\system32\riodrv.exe','');
TerminateProcessByName('c:\windows\system32\bmpndrv.exe');
QuarantineFile('c:\windows\system32\bmpndrv.exe','');
DeleteFile('c:\windows\system32\bmpndrv.exe');
DeleteFile('c:\windows\system32\riodrv.exe');
DeleteFile('C:\WINDOWS\system32\srv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\gqnmng.sys');
DeleteFile('systool16b.dll');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\hlau.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\rxcnnk.pif');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Не могу ничего загрузить. (13.3 Кб превысил(а) предел на форуме)
-
Сообщение от
K.A.I
Не могу ничего загрузить. (13.3 Кб превысил(а) предел на форуме)
http://virusinfo.info/profile.php?do=editattachments Удалите старые сообщения.
-
-
Новые логи. Карантин выслал.
Последний раз редактировалось K.A.I; 23.10.2009 в 19:36.
-
Если еще не делали - пролечитесь от файловых вирусов: http://virusinfo.info/showthread.php?t=15927
Если делали или после того, как сделаете:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\drivers\gqnmng.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\gqnmng.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys');
DeleteService('ids00180');
DeleteService('ids00026');
DeleteService('abp470n5');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('ids00180');
BC_DeleteSvc('ids00026');
BC_DeleteSvc('abp470n5');
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
-
-
Новые логи. Карантин выслал.
Последний раз редактировалось K.A.I; 23.10.2009 в 19:36.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Client\Local Settings\Temporary Internet Files\Content.IE5\WT6ZKLI3\load[1].exe','');
DeleteFile('C:\Documents and Settings\Client\Local Settings\Temporary Internet Files\Content.IE5\WT6ZKLI3\load[1].exe');
DeleteFileMask('C:\Documents and Settings\Client\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Новые логи. Карантин выслал.
Последний раз редактировалось K.A.I; 23.10.2009 в 19:36.
-
Ничего подозрительного.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
Ничего подозрительного.
Что с проблемой?
Компьютер работает отлично. Удалил каталоги -= The Porn Collection =- со всех сетевых ресурсов, пока на место не возвращаются. Думаю, проблема решена!
-
Строго борись с автозапуском флешек и прочего.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Строго борись с автозапуском флешек и прочего.
Ок! Пасиб!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\bmpndrv.exe - Worm.Win32.Agent.ww ( DrWEB: Trojan.DownLoad.38696, BitDefender: Trojan.Generic.2135442, AVAST4: Win32:FakeAlert-BU [Trj] )
- c:\windows\system32\riodrv.exe - Backdoor.Win32.DeAlfa.cy ( DrWEB: Trojan.PWS.Porn, BitDefender: Trojan.Generic.2135848, NOD32: Win32/Spy.Banker.QYO trojan, AVAST4: Win32:Induc )
- e:\autorun.inf - Worm.Win32.AutoRun.gnr ( NOD32: INF/Autorun.gen trojan )
- e:\hlau.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )
- f:\autorun.inf - Worm.Win32.AutoRun.gns ( BitDefender: Trojan.AutorunINF.Gen, NOD32: INF/Autorun.gen trojan )
- f:\rxcnnk.pif - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )
-