internet security

Printable View

22.01.2010, 03:04
Blastoderm

internet security

internet security антивирус просит отправить смс на номер 4460. С помощью средства разблокировки убрать не получилось, пишет что код неверный. Пишу со второй операционки (Вин7). Запустил отсюда Kaspersky Virus Removal Tool, он удалил пару вирусов, но проблема не исчезла. Запустить антивирусы из под ХР невозможно, удалось лишь hijackthis, log прикладываю. Помогите, пожалуйста!
22.01.2010, 09:23
PavelA

профиксить:
[CODe]F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe[/CODe]

В Хиджаке Config.. -- Misc Tool... --- Open AdsSpy
сделать скан. Если найдутся файлы, то попытаться их скопировать,
а потом удалить.

Сделать лог GetSystemInfo на "зараженной" системе.
22.01.2010, 15:22
Blastoderm

Адсспай нашел пару файлов, я их удалил. Прикладываю лог AVZ
22.01.2010, 16:15
Blastoderm

Еще лог
22.01.2010, 16:45
PavelA

выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Help\dskquoui.chm:CZQCEkGWDD','');
DeleteFile('C:\WINDOWS\Help\dskquoui.chm:CZQCEkGWDD');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Help\dskquoui.chm:CZQCEkGWDD', ''), ',,', ','));
DeleteFile('C:\Documents and Settings\Антон\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд скрипт №2. Прислать лог.
А/вирус заработал?
22.01.2010, 18:12
Blastoderm

Все вроде заработало, но доступа к вашему сайту все еще нет. Лог прикладываю
22.01.2010, 22:24
Blastoderm

Да, все сайты антивирусов и микрософт апдейт остались заблокированы, в остальном вроде все ок.
23.01.2010, 13:12
Blastoderm

Проверился свежим DrWeb - не помогло, захожу на ваш сайт через анонимайзер :) Файл hosts чистый, где еще может быть проблема?

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

Все, обновленный DrWeb нашел это:
C:\windows\system32\kbxgjh.dll - инфицирован Trojan.Winlock.938
После удаления все нормализовалось. Есть ли какие-то хвосты у этого вируса?
23.01.2010, 14:03
PavelA

Для гарантии можно провериться обновленным AVZ, скачав его с сайта разработчика.