Printable View
Добрый день.
Поймал вирус который просит ввести телефонный номер на странице вконтакте и потом требует ответную смс которая дорого стоит, cureit не помог но несколько троянов удолил. Как я понял каким то образом подменяется файл hosts.
прикладываю логи.
Заранее благодарю за помощь.
Уважаемый(ая) [B]Коршун[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
В папке [I]Автозагрузка[/I] есть ярлык под именем [B]Adobe Updater[/B] - запакуйте его в zip-архив и прикрепите сюда.
вот он
Нет, вы обьект сохранили (это командная консоль Windows, файл чистый), а нужен был именно ярлык, т.е. файл [B].lnk[/B].
[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]
Для этого архивируйте саму [B]папку[/B] [I]Автозагрузка[/I].
сохраняется только так.
может я что то не так делаю
путь в оригинальном ярлыке такой:
C:\WINDOWS\system32\cmd.exe /c copy "C:\Temp\hlp1" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && attrib +H "C:\WINDOWS\system32\drivers\etc\hosts" && "C:\Temp\eula.bat"
[quote="Коршун;852642"]путь в оригинальном ярлыке такой:
C:\WINDOWS\system32\cmd.exe /c copy "C:\Temp\hlp1" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && attrib +H "C:\WINDOWS\system32\drivers\etc\hosts" && "C:\Temp\eula.bat"[/quote]
ОК, именно это я и хотел увидеть.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: 46.251.228.211 odnoklassniki.ru
O1 - Hosts: 46.251.228.211 www.vk.com
O1 - Hosts: 46.251.228.211 www.vkontakte.ru
O1 - Hosts: 46.251.228.211 vk.com
O1 - Hosts: 46.251.228.211 www.twitter.com
O1 - Hosts: 46.251.228.211 www.odnoklassniki.ru
O1 - Hosts: 46.251.228.211 vkontakte.ru
O1 - Hosts: 46.251.228.211 twitter.com
O1 - Hosts: 46.251.228.211 twitter.com
O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - C:\Documents and Settings\Romanchuk\Application Data\Microsoft\Internet Explorer\qstatsrv.dll (file missing)
O4 - Startup: Adobe Updater.lnk = C:\WINDOWS\system32\cmd.exe
[/code]
можно подробнее как фиксить?
[url]http://virusinfo.info/showthread.php?t=4491[/url]
Большое спасибо помогло!!