был порнобаннер... вроде его убрал, но после этого пропало все с рабочего стола
был порнобаннер... вроде его убрал, но после этого пропало все с рабочего стола
1.Профиксите в HijackThis
2.Выполните скрипт в AVZКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O20 - Winlogon Notify: reset5c - reset5c.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\WINDOWS\system32\vwpugbo.exe',''); QuarantineFile('C:\WINDOWS\system32\iqjsmp.exe',''); QuarantineFile('C:\WINDOWS\system32\dfvpixp.exe',''); QuarantineFile('C:\WINDOWS\system32\92845779.exe',''); QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe',''); QuarantineFile('C:\Documents and Settings\Admin\null0.3133731829573463.exe',''); DeleteFile('C:\Documents and Settings\Admin\null0.3133731829573463.exe'); DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer'); DeleteFile('C:\WINDOWS\system32\92845779.exe'); DeleteFile('C:\WINDOWS\system32\dfvpixp.exe'); DeleteFile('C:\WINDOWS\system32\iqjsmp.exe'); DeleteFile('C:\WINDOWS\system32\vwpugbo.exe'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); DeleteFileMask('C:\Program Files\pchd', '*.*', true); DeleteDirectory('C:\Program Files\pchd'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); ExecuteRepair(5); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Вроде все стало нормально, спасибо)
карантин выслал, логи прилагаю
Здравствуйте.
Нужно ещё чуток подлечиться.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Bitrix Security\dhktjlbr05.dll',''); QuarantineFile('C:\WINDOWS\system32\dfhclfhd.dll',''); DeleteFile('C:\WINDOWS\system32\dfhclfhd.dll'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Bitrix Security\dhktjlbr05.dll'); DelCLSID('F0117108-9C01-4150-BA3D-DE7258EBB1D7'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
карантин выслал
Чисто.
Смените все пароли.C:\WINDOWS\system32\dfhclfhd.dll -> размер=65480, детект=Trojan-Spy.Win32.SpyEyes.dbu
Установите:
-Internet Explorer 8.
Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz.log. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\dfhclfhd.dll - Trojan-Spy.Win32.SpyEyes.dbu ( DrWEB: BackDoor.Siggen.26046, BitDefender: Backdoor.Generic.619636 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) k0c9k, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.