Добрый вечер. На одном из компьютеров появилась гадость, блокирующая работу всего, что только можно. для разблокировки просит смс с текстом M21720009 на номер 8353. смог сделать только лог хайджека. остальное запустить не удалось (даже в safe mode).
Printable View
Добрый вечер. На одном из компьютеров появилась гадость, блокирующая работу всего, что только можно. для разблокировки просит смс с текстом M21720009 на номер 8353. смог сделать только лог хайджека. остальное запустить не удалось (даже в safe mode).
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите:[/url]
[code]O20 - AppInit_DLLs: C:\WINNT\system32\jqd.dll[/code]
Немедленно перезагрузитесь и делайте логи по правилам.
О20 пробывал фиксить, при перезагрузке все то же самое :( как-будто что-то еще запускает этот банер. Причем даже если пофиксить эту строку, и сделать рескан она опять появится, но dll будет другая (тоже случайный набор букв).
А если пофиксить в безопасном режиме?
так только в безопасном и получается что либо сделать. Да и после фикса пробывал перегружаться как в боевой, так и безопасный режим - результат одинаков.
Тогда, боюсь, только Live CD или диск к другой машине цеплять.
В безопасном режиме попробуйте почистить файлы во всех временных папках (Temp, Temporary Internet File) Потом пробуйте фиксить, делать логи.
переименовал файл из O20. Система загрузилась, снял логи. жду дальнейших указаний.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('K:\autorun.inf','');
QuarantineFile('c:\winnt\system32\winagent.exe','');
QuarantineFile('C:\WINNT\services.exe','');
DeleteService('ethjyzvj');
DeleteFile('C:\WINNT\system32\drivers\ethjyzvj.sys');
DeleteFile('c:\winnt\system32\winagent.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','Microsoft Internet Agent');
DeleteFile('K:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
+ к [B]snifer67[/B]
[QUOTE='IFomin;524314']переименовал файл из O20.[/QUOTE]Его новое имя назовите. Его тоже нужно убивать
Результат загрузкиФайл сохранён как 091203_174609_virus_4b17cf31ac715.zip
Размер файла 5183334
MD5 8b829a8918896b9c5550431a2772c06d
Файл закачан, спасибо!
далее новые логи
Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\drivers\ywkqnrqs.sys','');
DeleteService('ywkqnrqs');
QuarantineFile('C:\WINNT\services.exe','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINNT\services.exe');
DeleteFile('C:\WINNT\system32\drivers\ywkqnrqs.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(1);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\winnt\system32\winagent.exe - [B]Backdoor.Win32.Buterat.au[/B] ( AVAST4: Win32:Spyware-gen [Spy] )[*] k:\autorun.inf - [B]Trojan.Win32.AutoRun.oc[/B] ( BitDefender: Trojan.AutorunINF.Gen )[/LIST][/LIST]