Добрый вечер!
Появилось окно, занимающее нижнюю правую четверть экрана. Сообщается что пробный период ПО File Downloader истек. Для активации просит отправить смс на номер 1350.
Заранее благодарен за помощь.
Printable View
Добрый вечер!
Появилось окно, занимающее нижнюю правую четверть экрана. Сообщается что пробный период ПО File Downloader истек. Для активации просит отправить смс на номер 1350.
Заранее благодарен за помощь.
1) Пофиксите в HijackThis:
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O20 - AppInit_DLLs: ,[/CODE]
2) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\F\UCK\FK.exe','');
QuarantineFile('C:\C\Settings\cl.exe','');
QuarantineFile('C:\MEMORY\S-v-6-2009\PeAcE.exe','');
QuarantineFile('C:\RECYCLED\BIN\ok.exe','');
QuarantineFile('C:\NEXT\FILES\NEXT.exe','');
QuarantineFile('C:\DATA\DELETED\POWER.exe','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\DATA\DELETED\POWER.exe');
DeleteFileMask('C:\DATA', '*.*', true);
DeleteDirectory('C:\DATA');
DeleteFile('C:\NEXT\FILES\NEXT.exe');
DeleteFileMask('C:\NEXT', '*.*', true);
DeleteDirectory('C:\NEXT');
DeleteFile('C:\RECYCLED\BIN\ok.exe');
DeleteFileMask('C:\RECYCLED\BIN', '*.*', true);
DeleteDirectory('C:\RECYCLED\BIN');
DeleteFile('C:\MEMORY\S-v-6-2009\PeAcE.exe');
DeleteFileMask('C:\MEMORY', '*.*', true);
DeleteDirectory('C:\MEMORY');
DeleteFile('C:\C\Settings\cl.exe');
DeleteFileMask('C:\C', '*.*', true);
DeleteDirectory('C:\C');
DeleteFile('C:\F\UCK\FK.exe');
DeleteFileMask('C:\F', '*.*', true);
DeleteDirectory('C:\F');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
DelBHO('{757FF18E-494C-46AC-AF9D-6A6012C315A3}');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-34KC2A3452432}');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431}');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-14KC2A323342}');
DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431}');
DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-32KL2R3233771}');
DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-32KL2R3423321}');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(4);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
4) Сделайте новые логи.
Новые логи.
1) Скачайте программу из вложения, запустите и дождитесь окончания работы. Компьютер перезагрузится.
2) Удалите файл %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
3) Сделайте новый лог virusinfo_syscure.zip.
Баннер пропал, появился интерет!!!
Огромное спасибо!!!
В логе чисто.
Проблема полностью решена?
Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Ознакомьтесь с этой темой: [url]http://virusinfo.info/showthread.php?t=30339[/url]
Полностью решена,никаких отклонений от нормальной работы не наблюдается.
Огромное спасибо за вашу помощь!!!
P.S. Начинаю реализовать рекомендации)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]