-
Junior Member
- Вес репутации
- 53
Есть сомнения что я все вычистил
Принесли ноут с порнобанером смс на номер 9800, порнобанер снял ,введя два разных кода, код взял из поста отсюда http://virusinfo.info/showpost.php?p=542718&postcount=4
После чего с помощью Spybot, Dr. Web CureIt! и AVPTool вычистил ноут от множества троянов червей и бэкдоров. Посмотрите пожалуйста, может еще что осталось? Radmin ставил сам
Последний раз редактировалось Sergey21102; 28.12.2009 в 03:16.
Причина: Добавление файлов
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
c:\winner5\cup5 - известно что это за папка?
В HiJackThis пофиксите:
Код:
O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
O23 - Service: Оповещатель Alerterupnphost (Alerterupnphost) - Unknown owner - C:\WINDOWS\TEMP\rdl3D.tmp.exe (file missing)
O23 - Service: Журналы и оповещения производительности SysmonLogSharedAccess (SysmonLogSharedAccess) - Unknown owner - C:\WINDOWS\TEMP\rdl33.tmp.exe (file missing)
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\winner5\cup5\cup.bin');
QuarantineFile('C:\WINDOWS\system32\ZBSCRE~2.SCR','');
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
QuarantineFile('C:\Program Files\plugin.exe','');
DeleteService('SysmonLogSharedAccess');
QuarantineFile('C:\WINDOWS\TEMP\rdl33.tmp.exe','');
DeleteService('Alerterupnphost');
QuarantineFile('C:\WINDOWS\TEMP\rdl3D.tmp.exe','');
QuarantineFile('C:\winner5\cup5\EasyComLib.dll','');
QuarantineFile('C:\winner5\cup5\libAAA.dll','');
QuarantineFile('C:\winner5\cup5\CupLib.dll','');
QuarantineFile('c:\winner5\cup5\cup.bin','');
DeleteFile('C:\WINDOWS\TEMP\rdl3D.tmp.exe');
DeleteFile('C:\WINDOWS\TEMP\rdl33.tmp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Generic Host for Win32 Services');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Alerterupnphost');
BC_DeleteSvc('SysmonLogSharedAccess');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
c:\winner5\cup5 - известно что это за папка?
это папка программы Winner http://www.baza-winner.ru/, хотя хозяин ноута больше бухгалтер, чем реэлтор, завтра уточню, ставили они это или нет.
- Отключите ПК от интернета/локалки
От локалки не могу, по крайней мере сейчас, я на нем сейчас удаленно работаю через радмин. Инета у него сейчас нет, выход в инет из локалки через прокси, ноут о об этой прокси ничего "не знает".
выполнить сейчас скрипты?
QuarantineFile('C:\WINDOWS\TEMP\rdl3D.tmp.exe','') ;
я от него до этого еле избавился и сейчас в этой папке такого файла нет, смотрю Far-ом...
Добавлено через 37 минут
карантин отправил
Файл сохранён как 091228_054833_virus_4b381c8117a2d.zip
Размер файла 1067368
MD5 d71ada3f8d5b99008a81cb44925a587f
Последний раз редактировалось Sergey21102; 28.12.2009 в 05:49.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Winner ставили только посмотреть и как говорит хозяин ноута не смогли его удалить
я его уже грохнул...
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\netprotocol.dll - Backdoor.Win32.Buterat.bu
-