-
Junior Member
- Вес репутации
- 62
Порноинформер SMS на 5121 Trojan.DownLoad.44697
Доброго времени суток! Собственно по теме. Появился порноинформер (см. аттач) работа компа частично парализована. стандартные виндозные утилиты - regedit, msconfig, Выполнить, Диспетчер задач, браузеры интернета, кроме Сафари, и др., блокируются. При попытке войти в папки Временных файлов интернета, Проводник закрывается. Вслепую удалось провести полное сканирование системы CureIT-ом (если понадобится могу выслать его карантин или лог). После перезагрузки с рабочего стола исчезли некоторые значки. IE так и не загружается. В меню Пуск не выпадает контектсное меню. Посмотрите пожалуйста логи. Что можно исправить, чтоб добиться нормальной работы компьютера?
Зарание благодарю!
Последний раз редактировалось nip; 01.09.2010 в 10:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
Восстановление системы: включено
- Обязательно отключите!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
QuarantineFile('D:\PROGRA~1\FieryAds\FieryAds.dll','');
QuarantineFile('D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe','');
QuarantineFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('F:\gamedata\postal2\ApocalypseWeekend\System\protect.exe','');
QuarantineFile('C:\WINDOWS\system32\NeroCheck.exe','');
QuarantineFile('C:\Program Files\Common Files\Adobe Soft\myips.exe','');
DeleteFile('C:\Program Files\Common Files\Adobe Soft\myips.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','shell');
DeleteFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('D:\PROGRA~1\FieryAds\FieryAds.dll');
DeleteFileMask('D:\PROGRA~1\FieryAds', '*.*', true);
DeleteDirectory('D:\PROGRA~1\FieryAds');
DeleteFileMask('D:\PROGRA~1\MYCENT~1\InfoBar', '*.*', true);
DeleteDirectory('D:\PROGRA~1\MYCENT~1\InfoBar');
DeleteFile('C:\WINDOWS\system32\Drivers\etc\hosts');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
-
-
Junior Member
- Вес репутации
- 62
Результат загрузк
Файл сохранён как 100610_225342_quarantine_4c1134b60b4c7.zip
Размер файла 3564
MD5 37cb67a82fe70ea10cd12d1266f083e3
Файл закачан, спасибо!
Логи следом.
Последний раз редактировалось nip; 10.06.2010 в 23:07.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 62
Вот и новые логи
Стандартные утилиты запускаются. IE запускается, Диспетчер задач запускается. Антивирус обновился. Но DVD-ROM не открывается, контектстное меню в Пуске не выпадает.
Последний раз редактировалось nip; 01.09.2010 в 10:01.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\NeroCheck.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NeroCheck','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
- поищите файлы
D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
F:\gamedata\postal2\ApocalypseWeekend\System\prote ct.exe
если найдете пришлите их запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 62
Указанных путей
D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
F:\gamedata\postal2\ApocalypseWeekend\System\prote ct.exe
не найдено.
Контектстное меню в Пуске не открывается. Значки на рабочий стол так и не вернулись, ну да бог с ними.
Последний раз редактировалось nip; 01.09.2010 в 10:01.
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O2 - BHO: WebaltaBHO Object - {6C3BDD12-4B6F-44F1-87CB-4D94E1ED38A5} - D:\PROGRA~1\Webalta\WEBALT~2.DLL (file missing)
O2 - BHO: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - D:\Program Files\MyPlayCityRU\tbMyPl.dll (file missing)
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - D:\Program Files\Rambler Assistant\ramblertoolbarU3.dll (file missing)
O3 - Toolbar: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - D:\Program Files\MyPlayCityRU\tbMyPl.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('IDriverT');
DeleteFile('D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe');
DeleteFile('F:\gamedata\postal2\ApocalypseWeekend\System\protect.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(5);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
-
-
Junior Member
- Вес репутации
- 62
После выполнения фикса и скрипта пропала картинка рабочего стола, под значками встал серый фон, . пишу в файерфоксе символы печатаются с жуткой задержкой. контектсное меню в Пуске не открывается. новые логи прилогаю.
Уважаемые, хелперы. прошу вашего внимания )) и всех с наступающим праздником! ))
Поздравляю всех с днём России!!!!!!!!!!!!!!
Есть ли чего подозрительное в логах? и что делать если после лечения обнаружаться другие баги?
Прошу прощения что поднимаю тему, но хочется до конца разобраться. Можно ли далее спокойно работать или ещё что-то осталось?
Последний раз редактировалось nip; 01.09.2010 в 10:01.
-
В логах не видно ничего подозрительного.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось nip; 01.09.2010 в 10:00.
-
Junior Member
- Вес репутации
- 62
большое спасибо! прошёлся по ссылкам, установил все обновления. повторное выполнение скрипта не дает лог файла. Вопрос. Так и должно быть? Это значит что всё чисто? Или я чего-то не так делаю?
-
Да, так сделано специально, что бы пустой лог не удалял информацию об обнаруженных уязвимостях.
-
-
Junior Member
- Вес репутации
- 62
Спасибо огромное!! закрываем тему.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
-