Win32/Hexzone.AQ

Printable View

03.04.2009, 20:41
Dolphin

Win32/Hexzone.AQ

При запуске Internet Explorer появляется данный вирус, при этом на всех страничках светится порно баннер! Пожалуйста помогите
03.04.2009, 20:52
light59

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{AAF01C24-2681-4FE6-9EDC-F7772F810E73}');
DelBHO('{068119DB-00E9-416A-AC2E-9F837E6FB3C3}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\yvqdiqu.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\eurrvqu.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\yvqdiqu.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\eurrvqu.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=43177"]http://virusinfo.info/upload_virus.php?tid=43177[/URL]
Повторите логи.
03.04.2009, 21:33
Dolphin

Все сделал, вот логи
03.04.2009, 21:43
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{068119DB-00E9-416A-AC2E-9F837E6FB3C3}');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\yvqdiqu.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
03.04.2009, 22:06
Dolphin

Сделал
03.04.2009, 22:11
V_Bond

пофиксите
[code]
O2 - BHO: yvqdiquP - {068119DB-00E9-416A-AC2E-9F837E6FB3C3} - C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\yvqdiqu.dll
[/code]
hijackthis.log повторите ...
03.04.2009, 22:17
Dolphin

Вот
03.04.2009, 22:24
V_Bond

пофиксите
[code]
O2 - BHO: yzdlibP - {3802F364-62DD-4112-BF89-D8E6454FD755} - (no file)
O2 - BHO: usybnquP - {D389EBE2-54B7-4253-9AF9-60C16A3BC7D5} - (no file)
O4 - HKLM\..\Run: [NwOpenMS] rundll32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqidqvy.dll",DllRegisterServer
[/code]
hijackthis.log повторите ...
03.04.2009, 22:29
Dolphin

Готово
03.04.2009, 22:33
V_Bond

ничего плохого ...
03.04.2009, 22:35
Dolphin

Спасибо огромное, все работает отлично
04.04.2009, 22:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\eurrvqu.dll - [B]Trojan-Ransom.Win32.Hexzone.aik[/B] ( DrWEB: Trojan.Blackmailer.1086 )[*] c:\documents and settings\all users\application data\microsoft\media player\yvqdiqu.dll - [B]Trojan-Ransom.Win32.Hexzone.gsz[/B][/LIST][/LIST]