Здравствуйте всем, просит отослать смс на номер 1350, как побороть заразу? Интернета нет так что проверить цюритом не смог.
Здравствуйте всем, просит отослать смс на номер 1350, как побороть заразу? Интернета нет так что проверить цюритом не смог.
1. Пофиксите с помощью HJT:
2. Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
После выполнения скрипта компьютер перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\JVMOD32.DLL',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\Installer\{fd3c1ac5-99ed-4463-87ce-6ec3b556f634}\zip.dll',''); QuarantineFile('C:\WINDOWS\Installer\{8e53dd6e-09f0-4c1a-abe1-f150812a5207}\WinSrv.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wek27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd38.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nty27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oub62.sys',''); QuarantineFile('C:\WINDOWS\Help\oqtxde.chm',''); QuarantineFile('C:\WINDOWS\system32\overlapp32.dll',''); DeleteService('Wek27'); DeleteService('Rxd38'); DeleteService('Nty27'); DeleteService('Oub62'); DeleteFile('C:\WINDOWS\system32\overlapp32.dll'); DeleteFile('C:\WINDOWS\Help\oqtxde.chm'); DeleteFile('C:\WINDOWS\System32\Drivers\Oub62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nty27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rxd38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wek27.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\Installer\{8e53dd6e-09f0-4c1a-abe1-f150812a5207}\WinSrv.dll'); DeleteFile('C:\WINDOWS\Installer\{fd3c1ac5-99ed-4463-87ce-6ec3b556f634}\zip.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\JVMOD32.DLL'); DeleteFile('C:\WINDOWS\Installer\337c0a.msi'); DeleteFile('C:\WINDOWS\Installer\31d67c.msi'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg','DLLName'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WinSrv'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','zip'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
3. Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
4. Сделайте новые логи
новые логи, интернет ещё не пробовал. Карантин отправил.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
-Выполните скрипт:Код:R3 - Default URLSearchHook is missing O2 - BHO: wxilibP - {7E3EDD51-48FD-40F2-ACE4-0D2D9F2889AE} - (no file) O2 - BHO: (no name) - {CF26FAC0-7D4E-46D8-AE64-B277B11443AC} - (no file) O2 - BHO: cj helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - (no file) O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone O17 - HKLM\System\CCS\Services\Tcpip\..\{5CD739C7-0015-4777-98AE-91E95702EAC3}: NameServer = 85.255.113.122,85.255.112.24 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.24 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.24 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.24 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.24 O20 - AppInit_DLLs: C:\WINDOWS\system32\RJpYa.dll O20 - Winlogon Notify: crypt - crypts.dll (file missing) O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\ O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing) O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - (no file)
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('Wek27'); StopService('tcpsr'); StopService('Rxd38'); StopService('Oub62'); StopService('Nty27'); QuarantineFile('C:\WINDOWS\system32\RJpYa.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wek27.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd38.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oub62.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nty27.sys',''); QuarantineFile('C:\WINDOWS\Help\oqtxde.chm',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dl_',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.bak',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dl_',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.bak',''); DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.bak'); DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dl_'); DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.bak'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dl_'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteService('Wek27'); DeleteService('tcpsr'); DeleteService('Rxd38'); DeleteService('Oub62'); DeleteService('Nty27'); DeleteFile('C:\WINDOWS\system32\RJpYa.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Wek27.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rxd38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oub62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nty27.sys'); DeleteFile('C:\WINDOWS\Help\oqtxde.chm'); BC_ImportAll; ExecuteSysClean; BC_Activate; BC_DeleteSvc('Wek27'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Rxd38'); BC_DeleteSvc('Oub62'); BC_DeleteSvc('Nty27'); ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(6);, ExecuteRepair(7); ExecuteRepair(8); ExecuteRepair(9); CreateQurantineArchive('C:\quarantine.zip'); SetAVZPMStatus(True); RebootWindows(true); end.
После перезагрузки:
- Закачайте карантин C:\quarantine.zip.
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Последний раз редактировалось Rene-gad; 01.12.2009 в 11:29.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\jvmod32.dll - Trojan-Banker.Win32.Banker.aodl ( DrWEB: Trojan.PWS.Banker.31197, BitDefender: Trojan.Generic.2528856, NOD32: Win32/Spy.Delf.NYQ trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rzm ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2756456, AVAST4: Win32:Malware-gen )
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.has ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2613831, AVAST4: Win32:Malware-gen )
Уважаемый(ая) blackdog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.