-
Junior Member
- Вес репутации
- 52
Вирус Internet security
Знакомые словили баннер internet security, который просит отправить смс с текстом k209915300 на номер 4460.
Вирус заблокировал все антивирусы. AVZ тоже не удается запустить. Переименованный HiJackThis запускается, но по окончании проверки компьютер автоматически выключается и не удается сохранить логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В безопасном режиме точно также?
Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb (ftp://ftp.drweb.com/pub/drweb/livecd...veCD-5.0.0.iso) или Rescue Disc от Kaspersky Lab (http://devbuilds.kaspersky-labs.com/...escue_2008.iso). Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь (http://virusinfo.info/showpost.php?p=557652&postcount=5), после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.
-
-
Junior Member
- Вес репутации
- 52
Прошелся утилитой Dr.Web LiveCD 5.0.1 (01.02.2010). Снес trojan.browseban.252 и trojan.packed.19647. Порнобаннер из браузера исчез (оказывается он прицепился параллельно с internet security), а вот сам internet security до сих пор жив.
Rescue Disc от Kaspersky Lab вообще ничего не видит.
Добавлено через 23 минуты
Разблокировал при помощи кода, полученного с сайта Dr.Web. Скоро сделаю логи.
Последний раз редактировалось Kot Matrosskin; 02.02.2010 в 14:22.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 52
-
Пофиксите в Hijackthis:
Код:
O2 - BHO: MS Media Module - {B5B01DE8-8873-2B23-2390-183C71A06590} - %SYSTEMDRIVE%\a64tEZkaRnpBD.dll (file missing)
O23 - Service: userinit - Unknown owner - \\.\globalrootC:\WINNT\system32\usеrinit.exe (file missing)
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('globalroot\systemroot\system32\usеrinit.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe','');
QuarantineFile('C:\a64tEZkaRnpBD.dll','');
DelBHO('{B5B01DE8-8873-2B23-2390-183C71A06590}');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DeleteFile('C:\a64tEZkaRnpBD.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe');
BC_ImportALLt;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 52
Карантин у меня пустой, сейчас сделаю логи.
Последний раз редактировалось Kot Matrosskin; 02.02.2010 в 17:57.
-
Junior Member
- Вес репутации
- 52
-
Пофиксите в Hijackthis:
Код:
O23 - Service: userinit - Unknown owner - \\.\globalrootC:\WINNT\system32\usеrinit.exe (file missing)
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('userinit');
DeleteFile('globalroot\systemroot\system32\usеrinit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Сделайте новые логи по правилам - virusinfo_syscheck.zip и hijackthis.log
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
-
В логах ничего плохого. Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер. Также всегда держите Ваш антивирус в актуальном состоянии. Своевременно обновляйте базы; периодически выполняйте проверку системных дисков.
-
-
Junior Member
- Вес репутации
- 52
Спасибо, учтем все рекомендации. Тему можно считать закрытой.