Добрый день! Помогите, пожалуйста, одолеть троянов. При запуске IE все страницы подменяются порнорекламой, DrWeb ругается на файлы в ...\system32\drivers и на зараженный файл BAT.
Printable View
Добрый день! Помогите, пожалуйста, одолеть троянов. При запуске IE все страницы подменяются порнорекламой, DrWeb ругается на файлы в ...\system32\drivers и на зараженный файл BAT.
[url]http://virusinfo.info/showthread.php?t=1235[/url]
Прошу прощения, давно не отсылал логи. Исправил запрос.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}');
QuarantineFile('C:\WINDOWS\system32\mmmgfngf.dll','');
QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll','');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('securentm');
DeleteService('port135sik');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('ksi32sk');
DeleteService('i386si');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll','');
QuarantineFile('c:\documents and settings\Пользователь\Пользователь.exe','');
TerminateProcessByName('c:\documents and settings\Пользователь\Пользователь.exe');
QuarantineFile('c:\windows\services.exe','');
TerminateProcessByName('c:\windows\services.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('c:\documents and settings\Пользователь\Пользователь.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
DeleteFile('C:\WINDOWS\system32\mmmgfngf.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Карантин выслал, логи повторил.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmjdcrs.dll[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('systemntmi');
DeleteService('fips32cup');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\mmmjdcrs.dll');
DeleteFile('digiwet.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('fips32cup');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите пункт 2 диагностики...
Все выполнил. Лог высылаю.
В логах чисто...
Большое спасибо! Ваша оперативность просто поражает:)!
Жаль, не знаю, как на сайте Ваш рейтинг приподнять можно!
Я не первый раз уже обращаюсь за помощью - и всегда получаю стабильный результат - еще раз спасибо!
Нажимать "Спасибо" или весы около ника...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\microsoft\media player\sowwrqu.dll - [B]Trojan-Ransom.Win32.Hexzone.aij[/B][*] c:\documents and settings\пользователь\пользователь.exe - [B]Trojan.Win32.Agent.byzg[/B][*] c:\program files\common files\microsoft shared\web folders\uqrwwos.dll - [B]Trojan-Ransom.Win32.Hexzone.aij[/B][*] c:\windows\services.exe - [B]Trojan.Win32.Agent2.haa[/B] ( DrWEB: Trojan.Spambot.3531 )[*] c:\windows\system32\digiwet.dll - [B]Backdoor.Win32.Zdoogu.bo[/B][/LIST][/LIST]