Подцепил троян hexzone.ad.
При запуске IE лезет на 91.205.111.53 и открывается с порно
Под мозилой такой беды нет
Помогите, излечиться, плиз
Printable View
Подцепил троян hexzone.ad.
При запуске IE лезет на 91.205.111.53 и открывается с порно
Под мозилой такой беды нет
Помогите, излечиться, плиз
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\BN3.tmp','');
DeleteFile('C:\WINDOWS\Temp\BN3.tmp');
QuarantineFile('C:\WINDOWS\Temp\BN20.tmp','');
DeleteFile('C:\WINDOWS\Temp\BN20.tmp');
QuarantineFile('C:\WINDOWS\system32\~.exe','');
DeleteFile('C:\WINDOWS\system32\~.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\viylib.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\Documents and Settings\john\john.exe','');
DeleteFile('C:\Documents and Settings\john\john.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\viylib.dll');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/showthread.php?t=1235[/url]).
Сделайте новые логи.
высылаю логи после запуска скрипта
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\john\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: viylibP - {20D9BE3A-C204-48FB-9988-513409575D5F} - C:\Documents and Settings\All Users\Application Data\viylib.dll (file missing)
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\john\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DelBHO('{20D9BE3A-C204-48FB-9988-513409575D5F}');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteFile('C:\Documents and Settings\john\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\viylib.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('port135sik');
BC_DeleteSvc('fips32cup');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
пофиксил, выполнил скрипт,
карантин выслал
вкладываю новые логи
В логах чисто, установите SP3+all updates...
Спасибо большое!
Оперативная и удобная помощь!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\acpi32.sys - [B]Rootkit.Win32.Agent.gvv[/B] (DrWEB: Trojan.DownLoad.24465)[/LIST][/LIST]