Очередной File Downloader.

Printable View

14.12.2009, 18:46
qokyon

Очередной File Downloader.

Банер на пол-экрана. До этого, небыло установленых антивирусов.
Nod32 и AVP удалили немалое количесво вирусов. Но главная проблема осталась.
Помогите убрать эту бяку, пожалуйста.
14.12.2009, 19:11
snifer67

Вложений: 1

1. запустить программку, что в аттаче. ПК будет перезагружен.
2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
3.Сделаете новые логи.
14.12.2009, 19:55
qokyon

Банер убрался. swenum.sys Восстанавливается. Спасибо огромное!
Новые логи:
14.12.2009, 20:10
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\WINDOWS\system32\winsrv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\~TM12F.tmp','');
QuarantineFile('C:\WINDOWS\system32\xxtr.lro','');
DeleteFile('C:\WINDOWS\system32\xxtr.lro');
DeleteFile('C:\WINDOWS\TEMP\~TM12F.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\WINDOWS\system32\XP-CA7C347D.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-CA7C347D');
DeleteFile('C:\WINDOWS\system32\winsrv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
14.12.2009, 21:33
qokyon

Карантин отправил. Логи:
14.12.2009, 21:49
snifer67

Чисто

Установите Internet Explorer 8
14.12.2009, 22:04
qokyon

Спасибо!
15.12.2009, 22:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\internet explorer\rasadhlp.dll - [B]Backdoor.Win32.Delf.sby[/B] ( DrWEB: Trojan.PWS.Multi.101 )[*] c:\windows\system32\winsrv.exe - [B]Trojan-Spy.Win32.BZub.hqx[/B][*] c:\windows\temp\~tm12f.tmp - [B]Trojan-Dropper.Win32.Agent.bjpb[/B] ( DrWEB: Trojan.MulDrop.53398, NOD32: Win32/TrojanProxy.Tikayb.A trojan, AVAST4: Win32:Small-NDO [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]