-
Junior Member
- Вес репутации
- 52
Баннер 5121
После недолго прогулки по интернету, моя сестра выключила компьютер(была на своем пользователе), после, когда Я попытался зайти на сайт вконтакте выдало что мой пользователь заблокирован и просили отправить смс. Я проверил файл hosts и обнаружил там ненужные строчки, после чего удалил их. После Моя сестра зашла в свой пользовтель и у нее выскочил порно баннер с тлф. 5121 при этом каждую секунду вылетала ошибка "Диспетчер файлов отключен администратором". Я перезагрузил компьютер и зашел с своего пользовотеля, баннер не появился. Прошу помочь. Заранее благодарен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
логи надо сделать из под проблемного пользователя
-
-
Junior Member
- Вес репутации
- 52
Баннер удалил с помощью кода найденого в интернете, высылаю логи сделаные из под проблемного пользователя после того как удалил баннер(когда был баннер логи сделать было невозможно)
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe','');
DeleteFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe');
DeleteFileMask('c:\program files\common files\sysaware soft', '*.*', true);
DeleteDirectory('c:\program files\common files\sysaware soft');
DeleteFileMask('C:\Documents and Settings\121\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Все сделал. Так же заметил что в опере на многих сайтах не принимает мои логины и пароли, хотя в IE все отлично заходит
Последний раз редактировалось DeAd_RiDeR; 26.05.2010 в 13:43.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\zyrkpcbc.exe','');
QuarantineFile('C:\WINDOWS\system32\fsjkpirg.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dtscsi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\any99e0b.SYS','');
DeleteFile('C:\WINDOWS\system32\fsjkpirg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gfacjkvz');
DeleteFile('C:\WINDOWS\system32\zyrkpcbc.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1999801206-2089298194-54046092-1004\Software\Microsoft\Windows\CurrentVersion\Run','hbyltywp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\121\Рабочий стол\Документы Женька\проги\Для сервов\quice_1_2_41\Functionlib.dll','');
QuarantineFile('C:\Eroge\Fate-stay_night\kiri_sm.exe','');
QuarantineFile('C:\WINDOWS\System32\appmgmts.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- лог hijackthis.log сделайте
Последний раз редактировалось polword; 27.05.2010 в 06:53.
-
-
Junior Member
- Вес репутации
- 52
-
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{17A5BDBD-E21B-4029-99A8-A992E7D318C2}: NameServer = 85.255.116.53 85.255.112.7
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
-
-
-
Junior Member
- Вес репутации
- 52
Так то вроде все, но в опере все еще не хочет принимать пароли, ввожу их а он все равно выводит на панель ввода паролей(есть канешно и исключения - ваш сайт, вконтакте, но и там как слетает все, даже если ставишь "Запомнить")
-
Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 52
Уязвимостей больше нет, но опера продолжает глючить, не знаю даж что и делать, куки и кеш почистил, переустановил ее 3 раза, заменил на более позднюю версию, но не помогло, проблема появилась после первого появления баннера
-
Junior Member
- Вес репутации
- 52
Думаю тему можно закрывать, т.к. оперу удалил раз и навсегда
Спасибо за оказанную помощь
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\sysaware soft\svhost.exe - Trojan-Ransom.Win32.PinkBlocker.bku ( DrWEB: Trojan.Winlock.1765 )
-