Internet Security - без последствий?

[hQfRiDaYz]

Доброй ночи! Пожалуйста помогите! остались ли следы этого вымогателя?

[vegas]

Выполните скрипт

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 QuarantineFile('D:\Program Files\Делфи\Delphi6\Bin\bordbg60.exe','');
 QuarantineFile('C:\WinNER5\cup5\loader.exe','');
 QuarantineFile('C:\WINDOWS\system32\woohagukou.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\Documents and Settings\Влад\Application Data\Microsoft\sucookoo.exe','');
 QuarantineFile('C:\WINDOWS\system32\bgspmnt.dll','');
 QuarantineFile('C:\Documents and Settings\Влад\Application Data\Microsoft\looso.exe','');
 QuarantineFile('C:\Documents and Settings\Влад\Application Data\Microsoft\mouruvalej.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\tummouquu.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\tavoulouwif.exe','');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\tavoulouwif.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\tummouquu.exe');
 DeleteFile('C:\Documents and Settings\Влад\Application Data\Microsoft\mouruvalej.exe');
 DeleteFile('C:\Documents and Settings\Влад\Application Data\Microsoft\looso.exe');
 DeleteFile('C:\Documents and Settings\Влад\Application Data\Microsoft\sucookoo.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','quowoup');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\woohagukou.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ticooze');
 BC_ImportALL;
 BC_DeleteSvc('vheenyapuiaip');
 BC_DeleteSvc('oweyunujoye2e1');
 BC_DeleteSvc('fu1e9if219yaof');
 BC_DeleteSvc('deoegyhi2j5oo');
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Пофиксите Hijackthis (что останется)

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [ticooze] C:\WINDOWS\system32\woohagukou.exe
O4 - HKCU\..\Run: [quowoup] C:\Documents and Settings\Влад\Application Data\Microsoft\sucookoo.exe
O23 - Service: Backbone Service (deoegyhi2j5oo) - Unknown owner - C:\Documents and Settings\LocalService\Application Data\Microsoft\tavoulouwif.exe (file missing)
O23 - Service: SmartLinkService (fu1e9if219yaof) - Unknown owner - C:\Documents and Settings\LocalService\Application Data\Microsoft\tummouquu.exe (file missing)
O23 - Service: Crypkey License (oweyunujoye2e1) - Unknown owner - C:\Documents and Settings\Влад\Application Data\Microsoft\mouruvalej.exe (file missing)
O23 - Service: bcveServ (vheenyapuiaip) - Unknown owner - C:\Documents and Settings\Влад\Application Data\Microsoft\looso.exe (file missing)

Закачайте полученный карантин по красной ссылке вверху. Повторите логи AVZ, Hijackthis плюс сделайте лог Gmer (см. в моей подписи)

[hQfRiDaYz]

После Вашего скрипта фиксить было уже нечего)) но какая-то другая дрянь вылезла..
Новые логи:

[vegas]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится fsz0p6cj.exe (gmer)

Код:

fsz0p6cj.exe -del service jombmdks
fsz0p6cj.exe -del file "C:\WINDOWS\system32\dskio.dll"
fsz0p6cj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jombmdks"
fsz0p6cj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\jombmdks"
fsz0p6cj.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится. Лог Gmer повторите

[hQfRiDaYz]

Теперь вроде все чисто
Посмотрите, пожалуйста

[vegas]

Код:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Установите SP3 и вышедшие после него обновления (может потребоваться активация), обновите браузер до IE8

[hQfRiDaYz]

Спасибо за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 21
• В ходе лечения вредоносные программы в карантинах не обнаружены