банер с смс

Printable View

05.01.2010, 03:33
Silly

банер с смс

вот
06.01.2010, 09:25
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\sLayer\LOCALS~1\Temp\siplhba.exe','');
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
DelBHO('{58ECB495-38F0-49cb-A538-10282ABF65E7}');
QuarantineFile('C:\DOCUME~1\sLayer\LOCALS~1\Temp\yvec.dll','');
DeleteFile('C:\DOCUME~1\sLayer\LOCALS~1\Temp\yvec.dll');
DeleteFile('C:\DOCUME~1\sLayer\LOCALS~1\Temp\siplhba.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=65956[/url]

4. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin\LOCALS~1\Temp\don624B.tmp[/QUOTE]

5. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
07.01.2010, 01:22
Silly

при загрузке файла пишет что уже был загружен..
07.01.2010, 05:05
Aleksandra

Повторите логи.
08.01.2010, 04:32
Silly

загрузил файл quarantine.zip
и вот
08.01.2010, 05:45
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('Schedule', 4);
QuarantineFile('c:\*.exe','');
QuarantineFile('c:\windows\system32\??.exe','');
QuarantineFile('c:\windows\system32\??.scr','');
QuarantineFile('C:\DOCUME~1\sLayer\LOCALS~1\Temp\siplhba.exe','');
DelBHO('{700259D7-1666-479a-93B1-3250410481E8}');
QuarantineFile('c:\windows\system32\drivers\czhrf.exe','');
TerminateProcessByName('c:\windows\system32\drivers\czhrf.exe');
TerminateProcessByName('c:\windows\system32\50.scr');
DeleteFile('c:\windows\system32\50.scr');
DeleteFile('c:\windows\system32\drivers\czhrf.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\DOCUME~1\sLayer\LOCALS~1\Temp\siplhba.exe');
DeleteFileMask('C:\WINDOWS\Tasks', '*.job', false);
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=65956[/url]

4. Повторите логи.
08.01.2010, 06:37
Silly

Вложений: 1

[QUOTE=Aleksandra;554593]4. Повторите логи.[/QUOTE]
:santa:
08.01.2010, 13:41
thyrex

Плохого не видно. Что с проблемой?
08.01.2010, 22:15
Silly

в процессах висит какой то [B]СzhrF.exe[/B]
и на диске Ц появляется [B]x5p2a1x8j5w6.exe[/B]
09.01.2010, 01:14
thyrex

Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
09.01.2010, 03:54
Silly

:huh:
09.01.2010, 18:11
Silly

начал часто отключатся интернет =\
09.01.2010, 18:12
Aleksandra

[QUOTE=Silly;555385]в процессах висит какой то [B]СzhrF.exe[/B]
и на диске Ц появляется [B]x5p2a1x8j5w6.exe[/B][/QUOTE]
Все правильно. В карантине полно зверья.

Скачайте [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] и сделайте полную проверку компьютера. Все что найдет - удаляйте!
10.01.2010, 15:02
Silly

после удаления вирусов перестали работать некоторые кнопки на клавиатуре =)
стал долго включатся компьютер и при включении показано 2 виндуса
какой то виндос консоль
11.01.2010, 07:39
Aleksandra

Повторите логи.
15.01.2010, 16:17
Silly

комп включается только при нажатии кнопки TAB O__0
15.01.2010, 16:33
Aleksandra

Ничего зловредного в логах не увидела.

[QUOTE=Silly;561280]комп включается только при нажатии кнопки TAB O__0[/QUOTE]
Можно подробнее?
17.01.2010, 09:31
Silly

уже всё работает :)
всем спасибо!
18.01.2010, 09:31
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\czhrf.exe - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[*] c:\windows\system32\00.scr - [B]Trojan.Win32.VBKrypt.de[/B] ( DrWEB: Trojan.MulDrop.58544, BitDefender: Trojan.Generic.2935137, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\03.scr - [B]Trojan.Win32.VBKrypt.de[/B] ( DrWEB: Trojan.MulDrop.58544, BitDefender: Trojan.Generic.2935137, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\17.scr - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[*] c:\windows\system32\20.scr - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[*] c:\windows\system32\34.scr - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[*] c:\windows\system32\40.scr - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[*] c:\windows\system32\43.scr - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[*] c:\windows\system32\45.scr - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[*] c:\windows\system32\50.scr - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[*] c:\windows\system32\51.scr - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[*] c:\windows\system32\54.scr - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[*] c:\windows\system32\64.scr - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[*] c:\windows\system32\71.scr - [B]Backdoor.Win32.IRCBot.ngg[/B] ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Generic.2923177, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Agent-AIPJ [Trj] )[/LIST][/LIST]