-
Junior Member
- Вес репутации
- 51
SMS-баннер на 3381
Приветствую!
Требуется помощь.
Система: windows xp sp3.
Баннер с двумя барышнями, просит отправить смс с текстом N110371721156 на номер 3381.
(если нужно, есть изображение).
Практически ничего не дает запускать, ни диспетчер задач, ни антивирус.
В браузерах удается загрузить один-два сайта нейтрального содержания.
Произвел сканирование с помощью DrWeb LiveCD. Было найдено и уничтожено несколько троянов, однако баннер продолжал висеть.
Потом сканировал диск с помощью Kaspersky Rescue Disk 10, с тем же результатом.
Может быть совпадение, но после сканирования в windows пропала мышь (отсутствовал драйвер). Может быть деструктивные действия трояна?
Дважды звонил в А1-агрегатор по номеру: 8-800-100-73-37, без вопросов давали ответные коды, но оба не подошли.
С помощью LiveCD и ERD commander в ветке
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = c:\windows\system32\le???.dll
(название забыл переписать, дома записано, пишу с работы)
Файл c:\windows\system32\le???.dll переименовал и переместил на другой диск.
После этого баннер не появлялся.
Просканировал в безопасном режиме свежим DrWeb CureIT, он нашел 23 трояна Winlock.1769 в разных dll-файлах, которые находились в c:\windows\system32 и c:\temp.
После этого сканировал с помощью AVZ и HiJackThis.
По прежнему недоступны regedit и диспетчер задач.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sysaudex.sys','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
DeleteFile('=.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + сообщите, решилась ли проблема
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил, карантин выслал.
Логи прилагаются.
Regedit и диспетчер задач доступны.
Спасибо!
-
C:\WINDOWS\system32\drivers\sysaudex.sys поищите и, если найдется, запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
C:\WINDOWS\system32\drivers\sysaudex.sys
К сожалению (или к счастью?) не нашелся ни в указанной папке, ни вообще на диске с:
Есть какие-то подозрения, связанные с этим файлом?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Чисто
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-