-
Junior Member
- Вес репутации
- 53
Поймал банер от InformSecurity
Здравствуйте, помогите пожайлуста вот в каком деле:
Вчера поймал банер с белым фоном, в котором сообщается о том что мой компьютер заражен Trojan-Spy.Win32.Zbot.ikh и ООО "InformSecurity" предлагает удалить его за СМС. Короче обычный лохотрон. Диспетчер задач не вызывается. Высылаю логи.
P.S. Проверял систему в безопасном режиме своим антивиром (NIS2010), VRT, и Dr.Web - никаких результатов(((
P.P.S. Отключить автоматическое востановление системы не смог(((
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
PokerStars - это Вам знакомо?
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O4 - HKLM\..\Run: [portmap.exe] C:\WINDOWS\system32\portmap.exe
O4 - HKLM\..\Policies\Explorer\Run: []
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\system32\portmap.exe
O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
QuarantineFile('C:\WINDOWS\system32\portmap.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\yxwon.sys','');
DeleteService('ogflt');
DeleteFile('C:\WINDOWS\system32\drivers\yxwon.sys');
DeleteFile('C:\WINDOWS\system32\portmap.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- обновите базы AVZ
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
polword
PokerStars - это Вам знакомо?
Ну да, на PokerStars бывало подвисал, как домой попаду обязательно попробую, о результатах отпишусь спасибо за помощь.
-
Junior Member
- Вес репутации
- 53
Все сделал, вот новые логи
-
сделайте логи в нормальном режиме
-
-
Junior Member
- Вес репутации
- 53
О заработал обычный режим, спасибо огромное за помощь; при запуске выдало ошибку об отсутствии файла portmap.exe, как я понял он и был вирусом? Так вы считаете что я его словил через pokerstars.net?
Высылаю новые логи
-
Junior Member
- Вес репутации
- 53
МММММММ, тут вот какая проблемка - Диспетчер задач по прежнему не запускается, выводится сообщение о том что он отключен администратором
Добавлено через 2 минуты
И отключить востановление системы тоже все еще не возможно, что посоветуете???
Последний раз редактировалось troyanix; 19.02.2010 в 15:02.
Причина: Добавлено
-
- Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Добавлено через 6 минут
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
F3 - REG:win.ini: run=C:\WINDOWS\system32\portmap.exe
Последний раз редактировалось polword; 19.02.2010 в 15:36.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
СПАСИБО ОГРОМНОЕ)))))) Все заработало!!!
-
Вы можете отблагодарить весь проект VirusInfo вот тут.
-
-
Junior Member
- Вес репутации
- 53
Хорошо, когда будет свободное время - обязательно поучавствую, всего доброго и еще раз спасибо!!!
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-