Был порно баннер на рабочем столе с просьбой отправить смс с номером 4579306 на 5121. Я его разблокировала с помощью кода, а что дальше делать?
Был порно баннер на рабочем столе с просьбой отправить смс с номером 4579306 на 5121. Я его разблокировала с помощью кода, а что дальше делать?
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\WINDOWS\System32\syssetup.dll',''); QuarantineFile('\\?\globalroot\systemroot\system32\iCRGirN.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\iCRGirN.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Последний раз редактировалось polword; 07.06.2010 в 12:33.
Мне не удается корректно выполнить первый скрипт.
В процессе "поиск IIS - удаление файлов журнала", мне выводится системное сообщение Windows о том, что отсутствует диск со следующим текстом:
Exception Processing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c
AVZ зависает, после принудительного отключения у меня не управляется компьютер, на любое действие "отказано в доступе", после перезагрузки все в норме, вроде бы.
подправил. Выполните сейчас
сделала
Пофиксите в HijackThis следующие строки:
После перезагрузки сделайте новый лог HijackThis.O1 - Hosts: 85.12.46.140 odnoklassniki.ru
O1 - Hosts: 85.12.46.140 www.odnoklassniki.ru
O1 - Hosts: 85.12.46.140 vkontakte.ru
O1 - Hosts: 85.12.46.140 www.vkontakte.ru
O1 - Hosts: 85.12.46.140 vk.com
O1 - Hosts: 85.12.46.140 www.vk.com
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
а я вручную уже удалила эти строки
hosts я чистила вручную, новый лог сделала.
Уязвимости устранила, на данный момент их 0
Проблема решена?
Не знаю, вот это и хочу узнать )) Банер с которого все началось я сама убрала еще до обращения, а сюда обратилась узнать - осталось ли еще какое-либо заражение.
На момент обращения на компьютере был вредоносный файл: \\?\globalroot\systemroot\system32\iCRGirN.exe - Trojan.Packed.20385.
Теперь чисто.
Спасибо, значит решена.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- \\?\globalroot\systemroot\system32\icrgirn.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20385, BitDefender: Rootkit.37035, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) Bogdanovskaya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.