-
Junior Member
- Вес репутации
- 51
Последствия порнобаннера
Доброго времени суток. Итак по порядку. Возник порнобаннер, ехе файлы не запускались, антивирусы не работали, интернет тоже не работал, в итоге запустился ERDcommanderом, зашёл HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows посмотрел AppInit_DLLs, удалил параметры и переименовал файл. Потом после проверки в Dr. Web CureIt! было вылечено порядка 15 файлов с вирусом Troyan.Packed.20343, переименованный ранее файл тоже был в этом списке. Потом выполнил необходимые действия из правил, вот логи:
Вложение 244555
Вложение 244556
Вложение 244557
Посмотрите пожалуйста что дальше??? Вроде всё работает.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте, отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\DOCUME~1\FRIZZY~1.PEN\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('D:\WINDOWS.0\system32\7931261c.exe','');
QuarantineFile('D:\WINDOWS.0\System32\userinit.exe','');
QuarantineFile('D:\WINDOWS.0\system32\drivers\win32x.sys','');
DeleteFile('D:\WINDOWS.0\system32\drivers\win32x.sys');
DeleteFile('D:\WINDOWS.0\system32\7931261c.exe');
DeleteService('win32x');
DeleteFile('D:\DOCUME~1\FRIZZY~1.PEN\LOCALS~1\Temp\svchost.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 51
После выполнения скрипта и перезагрузки, ввожу пароль учётной записи и моментально завершение сеанса. Повторяю и тоже самое ((
-
Junior Member
- Вес репутации
- 51
Поправил userinit в реестре, в систему вошёл. Карантин отправил, логи вот:
Вложение 244579
Вложение 244580
-
Проверьте, сколько у Вас файлов userinit.exe в папке system32. Если несколько, один из них - вирус (дата 01.06.2010, размер 57344 байт)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
В папке один userinit.exe, дело в том что на компьютере несколько систем, заражённая находится по адресу d:\windows.0\, проблема с учёткой возникла из-за того, что скриптуказал путь на C:\WINDOWS\system32\userinit.exe. Что-нибудь ещё нужно сделать, или можно успокоиться? Визуально всё работает без проблем.
-
D:\WINDOWS.0\System32\userinit.exe - замените чистым с дистрибутива. Подробнее здесь
за ошибку указания диска в скрипте примите мои извинения.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- d:\docume~1\frizzy~1.pen\locals~1\temp\svchost.exe - Backdoor.Win32.Bredolab.ewx ( AVAST4: Win32:MalOb-BH [Cryp] )
- d:\windows.0\system32\userinit.exe - Trojan-Mailfinder.Win32.Agent.agf ( AVAST4: Win32:Rootkit-gen [Rtk] )
-