-
Junior Member
- Вес репутации
- 52
Последствия баннера
Здравствуйте!
Несколько дней назад на рабочем столе появился порно баннер. Я его деактивировал на сайте касперского. После этого я заметил, что начал подлагивать интернет, некоторые сайты стали открываться очень плохо. Я решил обратиться к Вам за помощью и обнаружил что сайт virusinfo.info, kaspersky.ru, drweb.ru не открываются вообще, не смотря на то, что в hosts ничего не было. Мне пришлось зайти на этот сайт с другого компьютера. На зараженном даже не обновлялся avz - обновил с другого.
Произвел проверку кисом, далее проверку drweb cure it в безопасном режиме, он нашел три трояна после чего при загрузке windows стало появляться сообщение: RunDLL: Ошибка при загрузке thxr.wgo Не найден указанный модуль.
Далее все сделал по правилам, логи прикладываю.
Если там есть вирусы, хотелось бы знать не было ли там кейлоггеров (т.е. надо ли мне менять пароли). Заранее спасибо!
Сергей
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe thxr.wgo nwfdtx
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7b0101f.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\5a1701d7.exe,\\?\globalroot\systemroot\system32\Wx64qgt.exe,
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\7b0101f.exe','');
QuarantineFile('C:\WINDOWS\system32\5a1701d7.exe','');
QuarantineFile('C:\WINDOWS\system32\Wx64qgt.exe','');
DeleteFile('C:\WINDOWS\system32\Wx64qgt.exe');
DeleteFile('C:\WINDOWS\system32\5a1701d7.exe');
DeleteFile('C:\WINDOWS\system32\7b0101f.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=77325).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Карантин выслал.
Сайты стали снова открываться, спасибо!
Новые логи прилагаю
-
Больше ничего плохого не видно.
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan.Win32.VBKrypt.mc
- c:\windows\system32\5a1701d7.exe - Trojan.Win32.Agent2.cqxx ( DrWEB: Trojan.MulDrop.64715 )
-