Printable View
В общем-то стандартный сценарий: полазили по порнушке и "для просмотра видео скачали программу воспроизведения".
КИС 7,0 со свежими на тот момент базами прошляпил это дело.
В безопасном режиме убил и удалил файлы процессов из временной папки, отвечавшие за вывод сообщения с требованием отправить смс.
CureIT нашел некий userlib.dll и удалил. Обновленный КИС также нашел Virut.ce и Smiscer.aw.
Сейчас сообщение не выводится, машинка в инет пока не выходит, хотя пинги идут.
Пофиксить в HijackThis
[code]
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\das7.tmp
[/code]
ПК перезагрузите.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelSPIByFileName('C:\Documents and Settings\Администратор\Cookies\userlib.dll', false);
QuarantineFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\das7.tmp','');
DeleteFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\das7.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
ExecuteWizard('TSW',3,3,true);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Удалите[url=http://virusinfo.info/showthread.php?t=27923]Bonjour[/url].
Сделайте новые логи.
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll');
DelSPIByFileName('C:\Documents and Settings\Администратор\Cookies\userlib.dll', false);
ExecuteRepair(11);
ExecuteSysClean;
ExecuteRepair(14);
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Повторите пункт 2 диагностики
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE='itch;514492']"для просмотра видео скачали программу воспроизведения".[/QUOTE]Если можете, то прямую ссылку на скачивание этой программы мне в личку дайте.
[QUOTE=snifer67;514504]
Пофиксить в HijackThis.....
Выполните скрипт в avz.....
Пришлите карантин.....
Удалите [url=http://virusinfo.info/showthread.php?t=27923]Bonjour[/url].
Сделайте новые логи.[/QUOTE]
Пофиксил. Выполнил. Карантин пустой, т.к. те файлы были удалены или ручками из temp'а или Cureit'ом.
Bonjour не удаляется:
[CODE]
C:\Documents and Settings\Администратор>sc stop "Bonjour Service"
[SC] OpenService FAILED 1060:
C:\Documents and Settings\Администратор>sc delete "Bonjour Service"
[SC] OpenService FAILED 1060:
[/CODE]
После всех манипуляций:
1. Пропала панель с кнопками запущенных приложений (языковая панель осталась на всю ширину панели задач, быстрый запуск - стал выключенным, но включился)
2. КИС не грузится, хотя в диспетчере задач 3(!) процесса avp.exe
Сейчас сделаю новые логи и выложу.
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
блин, а система то оказывается раком встала половина служб не запустилась
в общем система конкретно стала тормозить. как я уже говорил, нет панели с кнопками запущенных программ, половина служб не загружается.
вот новые логи.
проблема с панелью задач была связана судя по всему с какой-то ошибкой при запуске службы RPC, из-за нее не стартовали остальные службы и загрузка до рабочего состояния растягивалась минут на 20.
сделал кучу манипуляций бубном :) в т.ч. твик реестра для поднятия RPC, LSP-Fix, еще что-то (уже не помню) и после chkdsk /f система вроде вернулась на исходную.
господа хелперы, скажите мне, пожалуйста, что система чиста.
спасибо.
[QUOTE=light59]подозрительного ничего не вижу.[/QUOTE]
Тогда можно закрыть тему.
Спасибо.
Уже второй раз этот ноут лечу с помощью вашего проекта.
В следующий раз переставлю на windows 7 ;-)