Winlock номер 5121 с текстом 4855100.

[iceb0y]

Вылез баннер, требующий отправить смс на номер 5121 с текстом 4855100.
С помощью программы AVZ, я исправил строку запуска shell в реестре.
При проверке CureIT было найдено два одинаковых трояна : Trojan.Butirat.2. Удалить CureIt их не смог, и куда то переместил. Один из этих файлов был файл netprotocol.exe в папке C:\Documents and Settings\Антон\Application Data. Другой - в папке Temp.
AVZ еще выдает такие проблемы:
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME

Проверте пожалуйста логи, и помогите удалить до конца вирус.

[Bratez]

Заразы в логах не видно.
Указанные проблемы решаются таким скриптом:

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

[iceb0y]

До этого исправлял эти же проблемы через мастер устранения проблем в AVZ, но после перезагрузки, они появлялись.
Перед выполнением вышеуказанного скрипта я удалил парочку файлов: netprotocol.dll и еще какой-то (с другим именем, но размер точно такой же). Выполнил этот скрипт, перезагрузился и проблемы уже не появились. Так что думаю теперь система чиста.

Спасибо, Bratez