-
Junior Member
- Вес репутации
- 51
!ПОРНОБАННЕР!
В одной из учетных записей появился порнобаннер, заблокирован диспетчер задач, редактор реестра. В другом профиле таких проблем не было. Выполнить все рекомендации по проверке системы не удалось - не получилось загрузиться в безопасном режиме. Сделал проврку в обычном режиме из рабочего профиля, антивирус (NOD) нащел вирусы, а после HiJackThis банер удалился, диспетчер задач и редактор реестра заблокированы. Никак не удалось загрузиться в безопасном режиме, ветка реестра есть, SUPERAntiSpyware.Professional запускал, скрипт в AVZ выполнял - сообщают о выполнении исправлений, а в результате ноль повдоль. Огромная просьба помочь разобраться.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\netprotdrvss','');
QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
QuarantineFile('C:\DOCUME~1\Tolya\LOCALS~1\Temp\espF655.tmp','');
QuarantineFile('C:\DOCUME~1\7952~1\LOCALS~1\Temp\esp7491.tmp','');
DeleteFile('C:\DOCUME~1\7952~1\LOCALS~1\Temp\esp7491.tmp');
DeleteFile('C:\DOCUME~1\Tolya\LOCALS~1\Temp\espF655.tmp');
DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
DeleteFile('C:\WINDOWS\system32\netprotdrvss');
RegSearch('HKLM', '', 'espF655');
RegSearch('HKLM', '', 'esp7491');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(13);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + Прикрепите лог avz.log из папки AVZ.
-
-
Junior Member
- Вес репутации
- 51
-
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\rarunlck.exe','');
QuarantineFile('C:\DOCUME~1\Tolya\LOCALS~1\Temp\espF655.tmp','');
QuarantineFile('C:\DOCUME~1\7952~1\LOCALS~1\Temp\esp7491.tmp','');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\7CA37018');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\7CA37018');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\7CA37018');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\7A1FDFB8');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\7A1FDFB8');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\7A1FDFB8');
DeleteFile('C:\DOCUME~1\7952~1\LOCALS~1\Temp\esp7491.tmp');
DeleteFile('C:\DOCUME~1\Tolya\LOCALS~1\Temp\espF655.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 51
Новый лог virusinfo_syscheck:
Выполнил все рекомендации, проблемы пока остались
Последний раз редактировалось vist54; 18.05.2010 в 21:26.
-
-
-
Junior Member
- Вес репутации
- 51
Большое спасибо за внимание и помощь. Может еще какой совет? Где собака порылась?
-
Обновляйте систему периодически, ставьте заплатки, делайте update таких программ как Adobe, Java. Рекомендуется к изучению - http://security-advisory.virusinfo.info
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\netprotocol.dll - Backdoor.Win32.Buterat.jc ( DrWEB: Trojan.Click1.3196, AVAST4: Win32:Rootkit-gen [Rtk] )
-