-
Junior Member
- Вес репутации
- 53
Порноинформер 3381
Добрый вечер.
Ребенок друзей подхватил порнобаннер с просьбой отправить смс на номер 3381. На корню был убит NIS 2010. Не открывались сайты производителей антивирусов. Не запускались большинство приложений, в том числе AVZ. Сработал только Хиджак. Почитал на форуме пару десятков тем про этот информер и обнаружил, что все модули инициализации (App Init DLLs, 20-ый пункт), используемые баннером и обнаруживаемые с помощью ERD Commander'а находятся в игнорлисте Хиджака. Вручную поудалял все перечисленные там файлы - баннер пропал.Сейчас все работает (восстановление системы, редактор реестра, обновление системы и т.д.), но не открываются антивирусные сайты и по-прежнему мертв Norton.
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('D:\WINDOWS\system32\AESTFltr.exe','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe','');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(17);
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=79040
4. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Файл сохранён как 100522_081247_quarantine_4bf759bff12b8.zip
Размер файла 21959
MD5 ecd58c789d47cf1ca1be278a60e44412
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
Ничего зловредного в логах не увидела. Что с проблемой?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Проблема решена полностью. Переустановил NIS, после полного сканирования системы он нашел еще шесть троянов-даунлоадеров (у Симантека своя классификация, неясно, имеют ли они отношение к сабжу или нет). Земной поклон за помощь, Александра.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- d:\docume~1\admin\locals~1\temp\svchost.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.DownLoad1.60781, BitDefender: Gen:Variant.Ursnif.8, AVAST4: Win32:Crypt-GMU [Drp] )
-