Показано с 1 по 13 из 13.

Банер удален? (заявка № 80340)

  1. #1
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    10
    Вес репутации
    24

    Thumbs up Банер удален?

    Был порно баннер на рабочем столе с просьбой отправить смс с номером 4579306 на 5121. Я его разблокировала с помощью кода, а что дальше делать?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINDOWS\System32\syssetup.dll','');
     QuarantineFile('\\?\globalroot\systemroot\system32\iCRGirN.exe','');
     DeleteFile('\\?\globalroot\systemroot\system32\iCRGirN.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(13);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Последний раз редактировалось polword; 07.06.2010 в 12:33.

  4. #3
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    10
    Вес репутации
    24
    Мне не удается корректно выполнить первый скрипт.
    В процессе "поиск IIS - удаление файлов журнала", мне выводится системное сообщение Windows о том, что отсутствует диск со следующим текстом:
    Exception Processing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c

    AVZ зависает, после принудительного отключения у меня не управляется компьютер, на любое действие "отказано в доступе", после перезагрузки все в норме, вроде бы.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    подправил. Выполните сейчас

  6. #5
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    10
    Вес репутации
    24
    сделала
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Пофиксите в HijackThis следующие строки:
    O1 - Hosts: 85.12.46.140 odnoklassniki.ru
    O1 - Hosts: 85.12.46.140 www.odnoklassniki.ru
    O1 - Hosts: 85.12.46.140 vkontakte.ru
    O1 - Hosts: 85.12.46.140 www.vkontakte.ru
    O1 - Hosts: 85.12.46.140 vk.com
    O1 - Hosts: 85.12.46.140 www.vk.com
    После перезагрузки сделайте новый лог HijackThis.

    Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  8. #7
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    10
    Вес репутации
    24
    а я вручную уже удалила эти строки

  9. #8
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    10
    Вес репутации
    24
    hosts я чистила вручную, новый лог сделала.
    Уязвимости устранила, на данный момент их 0
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Проблема решена?

  11. #10
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    10
    Вес репутации
    24
    Не знаю, вот это и хочу узнать )) Банер с которого все началось я сама убрала еще до обращения, а сюда обратилась узнать - осталось ли еще какое-либо заражение.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    На момент обращения на компьютере был вредоносный файл: \\?\globalroot\systemroot\system32\iCRGirN.exe - Trojan.Packed.20385.
    Теперь чисто.

  13. #12
    Junior Member Репутация
    Регистрация
    07.06.2010
    Сообщений
    10
    Вес репутации
    24
    Спасибо, значит решена.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,528
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. \\?\globalroot\systemroot\system32\icrgirn.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20385, BitDefender: Rootkit.37035, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Bogdanovskaya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Monoca32 удален, но не до конца
      От Deepforest Elf в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 27.08.2010, 12:05
    2. Был удален порнобанер
      От Sonchus в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.07.2010, 21:11
    3. Ответов: 4
      Последнее сообщение: 25.04.2010, 11:40
    4. файл rundll32.exe был удален
      От Gianni в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 15.07.2009, 10:32
    5. удален ли zpx2.exe
      От JIux в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 26.03.2009, 02:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00140 seconds with 22 queries