Доступ в сеть заблокирован (ПО File Downloader)

[atomic830]

Вчера на ноутбук поймал вирус - баннер просит отправить смс для разблокировки. Были установлены перед заражением последние базы Касперского. При проверке AVPTool и CureIt! были найдены вирусы, но баннер не исчез. Доступ в сеть также заблокирован. Помогите, пожалуйста. Логи приклепляю.

[snifer67]

1. запустить программку, что в аттаче. ПК будет перезагружен.
2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
3.Сделаете новые логи.

[atomic830]

Программку запустил - баннер удалился.
Файл swenum.sys удалил и проверил,что он восстановился.
Но при запуске Windows KIS 2009 выдает сообщение: "В приложении Generic Host Process for Win32 Services обнаружена ссылка на веб-страницу ..., используемую для кражи паролей, номеров кредитных карт или другой конфиденциальной информации. Запрещено."
Новые логи прикладываю.

[PavelA]

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\winsrv.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

прислать карантин по Правилам.

[atomic830]

Карантин отправлен.

[PavelA]

В карантине файл нет. Его что а/вирус съел?

[atomic830]

Скорее всего нужный файл съел антивирус. Я выслал новый карантин, кот. делал при выключенном антивирусе - вроде он весит больше и внутри файл еще добавился.

[PavelA]

Trojan-Spy.Win32.BZub.hqx - вот так он зовется по классификации ЛК.

Логи повторите. Будем смотреть восстановился он или нет.

[atomic830]

При проверке Касперским зараженного файла а/вирус удалил этот файл и перезагрузил комп. Новые логи прикрепляю. Больше вроде никаких подозрительных сообщений не возникает.

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\system32\winsrv.exe','');
 DeleteFile('D:\WINDOWS\system32\winsrv.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ARPDefender');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service','EventMessageFile');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Punto Switcher');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','Punto Switcher');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','Punto Switcher');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Punto Switcher');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
RebootWindows(true);
end.

Компьютер перезагрузится.

Больше ничего плохого не видно.
Что с проблемами?

[atomic830]

Скрипты выполнил. Новый карантин выслал.
Проблем больше не замечаю.
Всем большое спасибо за помощь!
Выкладываю новые логи.

[миднайт]

Плохого в логах не видно.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. d:\windows\system32\winsrv.exe - Trojan-Spy.Win32.BZub.hqx ( DrWEB: Trojan.PWS.Banker.37238 )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !