-
Junior Member
- Вес репутации
- 57
Печальные последствия...
Здравствуйте,проблема в следующем,поймал с какого то сайта вирус,запустилась командная строка браузер вырубило,перезагрузил компьютер вылез банер *Пришлите смс чтобы выключить этот банер* ну его я его в процессах нашел,он создал в програм файлс ехе файл его удалил..так же он создал в system32 фейковый svchost.exe даже дата создания совпадала с моментом когда я его словил...его тоже удалил и из автозагрузки убрал все банера не стало..но после этого,все начало очень сильно тормозить...даже появление новых окон внизу,установка программ,игры и.т.д думал с драйверами что-то переустановил все так же...просьба в следующем,посмотреть не поймал ли еще чего,или не осталось еще от прошлого вируса...и если можно подскажите,как такое исправить или винду переустанавливать.Заранее спасибо,логи согласно правилам.
Последний раз редактировалось mdotx; 04.04.2010 в 18:28.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Базу AVZ обновить, логи переделать.
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось mdotx; 04.04.2010 в 18:28.
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rundll332.exe','');
QuarantineFile('C:\Documents and Settings\Darcia\Local Settings\Application Data\Mail.Ru\GameDownloader\AstrumDownloader.exe','');
DeleteFile('C:\Documents and Settings\Darcia\Local Settings\Application Data\Mail.Ru\GameDownloader\AstrumDownloader.exe');
DeleteFile('C:\WINDOWS\system32\rundll332.exe');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DelCLSID('EE16A90D-0E0C-1D2F-BC87-2F0EE5C4975F');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 57
Выполнил,карантин выслал.Уже после выполнения скрипта,все вернулось на круги своя...торможения практически исчезли,с установкой программ правда небольшие есть..но ощутимо меньше.Так что уже говорю и ставлю вам Спасибо)
Последний раз редактировалось mdotx; 04.04.2010 в 18:28.
-
Пофиксите в HijackThis:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{B76664BC-D021-48B5-9A48-D6431475E07F}: NameServer = 85.255.116.130,85.255.112.107
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFA2A6B4-08E9-4F7A-9B0B-7235144ACB76}: NameServer = 85.255.116.130 85.255.112.107
Перезагрузите компьютер и повторите лог HijackThis.
В остальном чисто.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось mdotx; 04.04.2010 в 18:28.
-
Миссия выполнена
Добавлено через 12 минут
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Последний раз редактировалось gjf; 12.01.2010 в 14:31.
Причина: Добавлено
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-