"окно СМС"

[url]http://216.246.90.119/showthread.php?t=58081[/url]

У меня точно такая же проблема, только начал читать Правила (а в выше привед теме ответить не смог, посему пришлось свою создать)

Так вот, если бы я рекомендованный скрипт не запустил по AVZ то тут бы не отписывал, а так есть повод, "ноги растут" из этой ссылки: [url]http://forum.ixbt.com/topic.cgi?id=22:77015#2[/url] , и меня сюда адресовали.

Крик и мольбы утопающего.

[B]Кратко :[/B]
Аваст пропустил, нет поместил в инкубатор три фалика (троянских или просто заражённых?).
Но на сл. день Стала картинка запускаться при вх в Винд. ХР с требов отсыла смс-ки на номер 7122, я в трансе, блокируется Инет и идёт отсчёт 10мин, что делать?:)

Скрипт этот запускал :

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
QuarantineFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('C:\WINDOWS\dmgr134.sys');
DelBHO('6D7B211A-88EA-490c-BAB9-3600D8D7C503');
DeleteService('Windows System Service');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.

Аваст, после перезагрузки ПК выдал пару сообщений (два файла), что нашёл червя.

ПАМАГИТЕ! что теперь нужно сделать (картинка с СМС-кой пропала, но сообщение Аваста настораж., хоть фалики я поместил в инкубатор)

[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]

[B]"Прислать запрошенный карантин"[/B] - знать бы как его ещё найти .. в этом Авасте?

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Читаю ПРАВИЛА.

Логи по правилам выложите, поглядим.

В Правилах по Диагностике п.3 отправил вам два файла :
virusinfo_syscure.zip
virusinfo_cure.zip

Пока при перезагрузке "Окна с СМС" не было, но при просмотре протокола после диагностики AVZ выявил два файла, удалить их?
[URL=http://www.radikal.ru][IMG]http://i053.radikal.ru/0910/2f/694e8b55e33e.jpg[/IMG][/URL]

Файлы через вложения прикрепите.

[QUOTE=Белый Сокол;494723]Файлы через вложения прикрепите.[/QUOTE]
вот:

Вопрос дилетанта : Сетаповские AVPTool или CureIt (на инстал) запускать из *обычной загрузки или в *защищённом, (?) (я кажется ош. со сбором инф. и нарушил порядок, равно как и не прошёл п.2. в разделе "После загрузки инструментов")

И нужно ли *выгружать Аваст - (про него не было в Правилах упомянуто)? (при диагностики)

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\Администратор\restorer64_a.exe');
TerminateProcessByName('c:\windows\system32\restorer64_a.exe');
TerminateProcessByName('c:\windows\temp\wpv441255703227.exe');
QuarantineFile('C:\WINDOWS\system32\restorer64_a.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\restorer64_a.exe','');
QuarantineFile('c:\windows\temp\wpv441255703227.exe','');
QuarantineFile('c:\documents and settings\Администратор\restorer64_a.exe','');
QuarantineFile('c:\windows\system32\restorer64_a.exe','');
DeleteFile('c:\windows\system32\restorer64_a.exe');
DeleteFile('c:\documents and settings\Администратор\restorer64_a.exe');
DeleteFile('c:\windows\temp\wpv441255703227.exe');
DeleteFile('C:\Documents and Settings\Администратор\restorer64_a.exe');
DeleteFile('C:\WINDOWS\system32\restorer64_a.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DeleteFileMask('c:\windows\temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[QUOTE=gaarriis;494826]Вопрос дилетанта : Сетаповские AVPTool или CureIt (на инстал) запускать из *обычной загрузки или в *защищённом[/QUOTE]
[B]Проверку[/B] этими инструментами рекомендуется проводить в безопасном режиме.
[B]Лог [/B]АВПТул нужно делать в нормальном режиме.
[QUOTE=gaarriis;494826]
И нужно ли *выгружать Аваст - (про него не было в Правилах упомянуто)? [/QUOTE]
Обязательно было упомянуто
[QUOTE][CENTER]После загрузки инструментов:[/CENTER]
.....
6. Отключитесь от сети Интернет и [B][SIZE="4"][COLOR="Red"]выгрузите антивирусную программу[/COLOR][/SIZE][/B],[/QUOTE]

Я успел за это время Д Веб в защищённом, он нашёл штук 5троянов и наверно удалил, и вот лог от др. утилиты :
(Карантин по ссылке отослал)

[B]Rene-gad[/B]
[I]"- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению."[/I] Прикрепляю :

Во-первых, Quarantine и virusinfo_cure - не логи, а карантины. Во-вторых, они пустые, там ни одного реального файла нет, только описания. В-третьих, читайте в правилах, какие файлы надо прикреплять.

ОК, я не внимателен ))

Сравните имена файлов. По буквам.

Усё.., на том и порешим? ))))

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте[/url] в HijackThis строку:
[quote]
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
[/quote]
Больше не видно ничего подозрительного.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]