Junior Member
Вес репутации
54
СМС и зараженный svchost.exe
При работе на компе выпало окно о нелицензионном ПО и требованием отправить ПЛАТНУЮ СМС в microsoft для активации windows. Dr.WEB ничего не нашел. Сам убрал подозрительные файлы из автозагрузки, похоже левый svchost.exe удалил из корня папки windows. Проблемма полностью похоже не решена. При вызове диспетчера задач пишет "Отключено администратором". Помогите.
Последний раз редактировалось Подполковник; 06.11.2009 в 11:17 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уберите архив virusinfo cure, логи - это virusinfo syscure и virusinfo syscheck. Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\docume~1\7b5c~1\locals~1\temp\8.tmp');
TerminateProcessByName('c:\DOCUME~1\7B5C~1\LOCALS~1\Temp\dc01389794\g22vxxp.exe');
QuarantineFile('c:\docume~1\7b5c~1\locals~1\temp\8.tmp','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\activate.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\appdrv01.sys','');
QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
QuarantineFile('C:\WINDOWS\system32\oqrk.pso','');
QuarantineFile('c:\DOCUME~1\7B5C~1\LOCALS~1\Temp\dc01389794\g22vxxp.exe','');
DeleteFile('\Device\HarddiskVolume1\DOCUME~1\7B5C~1\LOCALS~1\Temp\dc01389794\g22vxxp.exe');
DeleteFile('C:\WINDOWS\system32\oqrk.pso');
DeleteFile('C:\WINDOWS\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','svchost');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','svchost');
DeleteFile('c:\docume~1\7b5c~1\locals~1\temp\8.tmp');
ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.
Пофиксите Hijackthis
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe jnio.jho ebyrm
Закачайте карантин по красной ссылке вверху страницы. Повторите логи.
Сделайте лог Gmer (см. в моей подписи)
Junior Member
Вес репутации
54
карантин у Вас.
Подскажите как выплолнить код Hijackthis
Вложения
Сообщение от
Подполковник
карантин у Вас
Пока ещё не получили.Как пофиксить в HijackThis.
+
Карантин дошел.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
DeleteFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка-\Quick Office.lnk');
DeleteFile('C:\WINDOWS\activate.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Проблема решена?
Junior Member
Вес репутации
54
Спасибо за участие.
Вроде бы все нормально, но все равно при ctrl+Alt+Delet выдает "диспетчер задач отключен администратором". Вроде бы сам администратор а вызвать диспетчер задач не могу.
Вложения
Выполните скрипт
Код:
begin
ExecuteRepair(6);
ExecuteRepair(11);
RebootWindows(true);
end.
Что с проблемой?
Junior Member
Вес репутации
54
Спасибо Вам ребята огромное. Все проблемы решены.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 20 В ходе лечения обнаружены вредоносные программы:
c:\docume~1\7b5c~1\locals~1\temp\8.tmp - Trojan.Win32.Buzus.clsl ( DrWEB: Trojan.PWS.Vkontakte.49, BitDefender: Trojan.Generic.2632687, AVAST4: Win32:VB-NPD [Drp] ) c:\windows\activate.exe - Trojan.Win32.Buzus.ckcd ( DrWEB: Trojan.Hosts.180, BitDefender: Trojan.Generic.2616066, AVAST4: Win32:Malware-gen ) c:\windows\svchost.exe - Trojan.Win32.Buzus.clsl ( DrWEB: Trojan.PWS.Vkontakte.49, BitDefender: Trojan.Generic.2632687, AVAST4: Win32:VB-NPD [Drp] ) c:\windows\system32\oqrk.pso - Trojan-GameThief.Win32.OnLineGames.bmxm