Порноинформер SMS на 5121 Trojan.DownLoad.44697

[nip]

Доброго времени суток! Собственно по теме. Появился порноинформер (см. аттач) работа компа частично парализована. стандартные виндозные утилиты - regedit, msconfig, Выполнить, Диспетчер задач, браузеры интернета, кроме Сафари, и др., блокируются. При попытке войти в папки Временных файлов интернета, Проводник закрывается. Вслепую удалось провести полное сканирование системы CureIT-ом (если понадобится могу выслать его карантин или лог). После перезагрузки с рабочего стола исчезли некоторые значки. IE так и не загружается. В меню Пуск не выпадает контектсное меню. Посмотрите пожалуйста логи. Что можно исправить, чтоб добиться нормальной работы компьютера?
Зарание благодарю!

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки

Восстановление системы: включено

- Обязательно отключите!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
 QuarantineFile('D:\PROGRA~1\FieryAds\FieryAds.dll','');
 QuarantineFile('D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe','');
 QuarantineFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 QuarantineFile('F:\gamedata\postal2\ApocalypseWeekend\System\protect.exe','');
 QuarantineFile('C:\WINDOWS\system32\NeroCheck.exe','');
 QuarantineFile('C:\Program Files\Common Files\Adobe Soft\myips.exe','');
 DeleteFile('C:\Program Files\Common Files\Adobe Soft\myips.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','shell');
 DeleteFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('D:\PROGRA~1\FieryAds\FieryAds.dll');
 DeleteFileMask('D:\PROGRA~1\FieryAds', '*.*', true);
 DeleteDirectory('D:\PROGRA~1\FieryAds');
 DeleteFileMask('D:\PROGRA~1\MYCENT~1\InfoBar', '*.*', true);
 DeleteDirectory('D:\PROGRA~1\MYCENT~1\InfoBar');
 DeleteFile('C:\WINDOWS\system32\Drivers\etc\hosts');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log

[nip]

Результат загрузк
Файл сохранён как 100610_225342_quarantine_4c1134b60b4c7.zip
Размер файла 3564
MD5 37cb67a82fe70ea10cd12d1266f083e3
Файл закачан, спасибо!

Логи следом.

[nip]

Вот и новые логи

Стандартные утилиты запускаются. IE запускается, Диспетчер задач запускается. Антивирус обновился. Но DVD-ROM не открывается, контектстное меню в Пуске не выпадает.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\WINDOWS\system32\NeroCheck.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NeroCheck','EventMessageFile');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
- поищите файлы

D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
F:\gamedata\postal2\ApocalypseWeekend\System\prote ct.exe

если найдете пришлите их запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

[nip]

Указанных путей

D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
F:\gamedata\postal2\ApocalypseWeekend\System\prote ct.exe

не найдено.
Контектстное меню в Пуске не открывается. Значки на рабочий стол так и не вернулись, ну да бог с ними.

[polword]

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

O2 - BHO: WebaltaBHO Object - {6C3BDD12-4B6F-44F1-87CB-4D94E1ED38A5} - D:\PROGRA~1\Webalta\WEBALT~2.DLL (file missing)
O2 - BHO: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - D:\Program Files\MyPlayCityRU\tbMyPl.dll (file missing)
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - D:\Program Files\Rambler Assistant\ramblertoolbarU3.dll (file missing)
O3 - Toolbar: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - D:\Program Files\MyPlayCityRU\tbMyPl.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteService('IDriverT');
 DeleteFile('D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe');
 DeleteFile('F:\gamedata\postal2\ApocalypseWeekend\System\protect.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(5);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log

[nip]

После выполнения фикса и скрипта пропала картинка рабочего стола, под значками встал серый фон, . пишу в файерфоксе символы печатаются с жуткой задержкой. контектсное меню в Пуске не открывается. новые логи прилогаю.

Уважаемые, хелперы. прошу вашего внимания )) и всех с наступающим праздником! ))

Поздравляю всех с днём России!!!!!!!!!!!!!!
Есть ли чего подозрительное в логах? и что делать если после лечения обнаружаться другие баги?

Прошу прощения что поднимаю тему, но хочется до конца разобраться. Можно ли далее спокойно работать или ещё что-то осталось?

[AndreyKa]

В логах не видно ничего подозрительного.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.

[nip]

вот запрашиваемый лог

[nip]

большое спасибо! прошёлся по ссылкам, установил все обновления. повторное выполнение скрипта не дает лог файла. Вопрос. Так и должно быть? Это значит что всё чисто? Или я чего-то не так делаю?

[AndreyKa]

Да, так сделано специально, что бы пустой лог не удалял информацию об обнаруженных уязвимостях.

[nip]

Спасибо огромное!! закрываем тему.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 12
• В ходе лечения вредоносные программы в карантинах не обнаружены