Периодически появляется окно ООО "InformSecurity" - отправьте смс, чтобы лечить ваш компьютер. После завершения процесса portmap.exe и лечения, комп работает 3-4 дня и все снова. Так же покрякивает флопик. Помогите, плз.
Printable View
Периодически появляется окно ООО "InformSecurity" - отправьте смс, чтобы лечить ваш компьютер. После завершения процесса portmap.exe и лечения, комп работает 3-4 дня и все снова. Так же покрякивает флопик. Помогите, плз.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\rdlCD.tmp.exe','');
QuarantineFile('C:\WINDOWS\Temp\rdl8D.tmp.exe','');
QuarantineFile('C:\WINDOWS\Temp\rdl7F.tmp.exe','');
QuarantineFile('C:\WINDOWS\Temp\rdl6C.tmp.exe','');
QuarantineFile('C:\WINDOWS\Temp\rdl62.tmp.exe','');
QuarantineFile('C:\WINDOWS\system32\wault.exe','');
QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\FGNYICYL\1[1].exe','');
QuarantineFile('C:\Program Files\SAP\FrontEnd\Controls\CrossSection.dll','');
QuarantineFile('C:\Documents and Settings\SGorkov\Local Settings\Temporary Internet Files\Content.IE5\443NS071\1[1].exe','');
QuarantineFile('C:\Documents and Settings\SGorkov\Local Settings\Temp\rdl64.tmp.exe','');
QuarantineFile('C:\WINDOWS\system32\-2006~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\portmap.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\portmap.exe');
DeleteFile('C:\Documents and Settings\SGorkov\Local Settings\Temp\rdl64.tmp.exe');
DeleteFile('C:\Documents and Settings\SGorkov\Local Settings\Temporary Internet Files\Content.IE5\443NS071\1[1].exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\FGNYICYL\1[1].exe');
DeleteFile('C:\WINDOWS\system32\riodrv.exe');
DeleteFile('C:\WINDOWS\system32\wault.exe');
DeleteFile('C:\WINDOWS\Temp\rdl62.tmp.exe');
DeleteFile('C:\WINDOWS\Temp\rdl6C.tmp.exe');
DeleteFile('C:\WINDOWS\Temp\rdl7F.tmp.exe');
DeleteFile('C:\WINDOWS\Temp\rdl8D.tmp.exe');
DeleteFile('C:\WINDOWS\Temp\rdlCD.tmp.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]
2.Повторить логи
Карантин отправил, логи:
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys',' ');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',' ');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Карантин отправил
Теперь все чисто.
Спасибо!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\sgorkov\local settings\temporary internet files\content.ie5\443ns071\1[1].exe - [B]Backdoor.Win32.Delf.pjo[/B] ( BitDefender: Trojan.Generic.1924610 )[*] c:\documents and settings\sgorkov\local settings\temp\rdl64.tmp.exe - [B]Backdoor.Win32.Delf.pjo[/B] ( BitDefender: Trojan.Generic.1924610 )[*] c:\windows\system32\riodrv.exe - [B]Trojan-PSW.Win32.Agent.mza[/B] ( DrWEB: Trojan.PWS.Siggen.111, BitDefender: Rootkit.19807 )[*] c:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B][*] c:\windows\system32\wault.exe - [B]Trojan-Clicker.Win32.Delf.cjj[/B] ( DrWEB: Trojan.Click.22110, BitDefender: Trojan.Generic.1884054 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]