Доброго времени суток!
Новая зараза не обошла и меня стороной.При запуске любой программы появляется порнобанер, требующий отправить смс на номер.Симптомы как и у всех стандартные, Авз удалось запустить только после переименования.
Printable View
Доброго времени суток!
Новая зараза не обошла и меня стороной.При запуске любой программы появляется порнобанер, требующий отправить смс на номер.Симптомы как и у всех стандартные, Авз удалось запустить только после переименования.
1. Пофиксите с помощью hijackthis:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/code]
2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]C:\quarantine.zip[/B] закачайте по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B] вверху темы
Сделайте логи обычным AVZ
Профиксить не могу-такой строчки у меня нет.Скрипт выполнил.Карантин выслал.Сделать логи обычным avz не получается (не запускается).
Делайте новые логи полиморфным AVZ
Вот новые логи
Пофиксите в HiJack
[CODE]O20 - AppInit_DLLs: C:\WINDOWS\system32\RyEyC.dll[/CODE]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
QuarantineFile('C:\WINDOWS\system32\RyEyC.dll','');
DeleteFile('C:\WINDOWS\system32\RyEyC.dll');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Пофиксил, скрипт выполнил, крантин выслал.В ходе выполнения скрипта антивирусник обнаружил целую порцию троянов в папке с/Temp, который переименовал.Новые логи выполнил обычным avz.Проблема пока себя не проявляет: при старте системы не появляются больше сообщении об ошибке, что память не может быть read/written, котторые наблюдались при заражении, приложения запускаются, диспетчер задач работает.Новые логи прилагаются
Ничего плохого.
Установите SP3 (может потребоваться активация) + все новые заплатки
SP3 и так хотел в будушем устанавливать, но сегодняшний инцидент ускорит процесс.Поставим в ближайшие выходные.Спасибо большое!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\overlapp32.dll - [B]Trojan.Win32.Delf.rvm[/B] ( DrWEB: Trojan.KeyLogger.4260, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\ryeyc.dll - [B]Trojan.Win32.Agent.dcou[/B] ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B] ( DrWEB: Trojan.WinSpy.381, AVAST4: Win32:Patched-KP [Trj] )[/LIST][/LIST]