СМС-вирус

Printable View

28.01.2010, 00:00
QU1ET

СМС-вирус

Здравствуйте,был СМС-вирус (отправьте СМС на номер...). В безопасном режиме осуществил проверку CureIT. Были найдены вирусы Trojan.winlock.938 и Trojan.spambot.7492 и сопутствующие dll-файлы. Пока замечены проблемы в работе системы: не запускается антивирус (Nod32).
28.01.2010, 12:42
DefesT

В безопасном режиме тоже виснет (не загружается)? Если нет, то сделайте логи по правилам.
28.01.2010, 12:51
QU1ET

Удалось загрузиться в безопасном режиме, прогнал сканирование еще раз. Перезагрузился, логи в первом сообщении.
28.01.2010, 13:50
DefesT

Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\sysinfo.ocx:CRgnCIF:$DATA','');
QuarantineFile('c:\windows\system32\hidphone.tsp:CRgnCIF:$DATA','');
QuarantineFile('c:\windows\system32\h323.tsp:CRgnCIF:$DATA','');
QuarantineFile('c:\windows\system32\ipconf.tsp:CRgnCIF:$DATA','');
QuarantineFile('c:\windows\system32\ndptsp.tsp:CRgnCIF:$DATA','');
QuarantineFile('c:\windows\system32\kmddsp.tsp:CRgnCIF:$DATA','');
QuarantineFile('c:\windows\system32\unimdm.tsp:CRgnCIF:$DATA','');
QuarantineFile('c:\windows\system32\msacm32.drv:CRgnCIF:$DATA','');
QuarantineFile('c:\windows\system32\wdmaud.drv:CRgnCIF:$DATA','');
QuarantineFile('c:\windows\system32\winspool.drv:CRgnCIF:$DATA','');
QuarantineFile('c:\windows\system32\msctfime.ime:CRgnCIF:$DATA','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1195068909-5102675075-643250849-3880\dllrun32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1195068909-5102675075-643250849-3880\dllrun32.exe');
DeleteFile('c:\windows\system32\msctfime.ime:CRgnCIF:$DATA');
DeleteFile('c:\windows\system32\winspool.drv:CRgnCIF:$DATA');
DeleteFile('c:\windows\system32\wdmaud.drv:CRgnCIF:$DATA');
DeleteFile('c:\windows\system32\msacm32.drv:CRgnCIF:$DATA');
DeleteFile('c:\windows\system32\unimdm.tsp:CRgnCIF:$DATA');
DeleteFile('c:\windows\system32\kmddsp.tsp:CRgnCIF:$DATA');
DeleteFile('c:\windows\system32\ndptsp.tsp:CRgnCIF:$DATA');
DeleteFile('c:\windows\system32\ipconf.tsp:CRgnCIF:$DATA');
DeleteFile('c:\windows\system32\h323.tsp:CRgnCIF:$DATA');
DeleteFile('c:\windows\system32\hidphone.tsp:CRgnCIF:$DATA');
DeleteFile('c:\windows\system32\sysinfo.ocx:CRgnCIF:$DATA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы. Попробуйте загрузится в обычном режиме и сделайте новые логи
28.01.2010, 14:26
QU1ET

Всё сделал.
28.01.2010, 15:17
DefesT

карантин загрузите по ссылке вверху темы
29.01.2010, 00:46
QU1ET

[QUOTE=DefesT;573066]карантин загрузите по ссылке вверху темы[/QUOTE]
Видимо, не загружается. Может, как-нибудь по-другому его вам отправить?

[size="1"][color="#666686"][B][I]Добавлено через 37 минут[/I][/B][/color][/size]

Теперь посмотрите, вроде получилось.

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 30 минут[/I][/B][/color][/size]

Люди добрые, вы карантин получили или нет. Что дальше делать?
29.01.2010, 00:52
DefesT

карантин не пришел!
29.01.2010, 12:26
QU1ET

Не загружается карнтин. Что можно сделать?

[size="1"][color="#666686"][B][I]Добавлено через 11 часов 2 минуты[/I][/B][/color][/size]

[URL="javascript:insertNick('DefesT', '573485');"][B][SIZE=3][COLOR=brown]DefesT[/COLOR][/SIZE][/B][/URL], не загружается карантин. Неужели больше нет вариантов?
29.01.2010, 13:25
DefesT

Что пишет при загрузки? Если есть возможность перекиньте на другой ПК карантин и загрузите по правилам.
29.01.2010, 21:38
QU1ET

Ничего не пишет, полоска в браузере доходит до конца и всё. Попробую как-нибудь отправить.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 57 минут[/I][/B][/color][/size]

Теперь посмотрите. Ждал несколько часов пока карантин (105 Мб) загрузится.
Хотя уведомления никакого нет, на странице браузера поля загрузки стали пустыми.

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 9 минут[/I][/B][/color][/size]

[URL="http://javascript<b></b>:insertNick('DefesT',%20'573485');"][B][SIZE=3][COLOR=brown]DefesT[/COLOR][/SIZE][/B][/URL], два дня мучаюсь из-за ерунды. Как быть с этим [B]105-ти мегабайтным[/B] карантином? Может, по частям залить?
01.02.2010, 11:26
DefesT

скачайте DrWeb CureIt или AVPtool и пролечите весь диск C
01.02.2010, 16:41
QU1ET

Пролечил CureIT. Карантин в AVZ пуст. Посмотрите логи, нужно ли что-то пофиксить?
01.02.2010, 17:50
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в [U]Hijackthis[/U]:[CODE]R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)[/CODE]
Обновите Internet Explorer до 8 версии. В логах чисто.
01.02.2010, 17:52
QU1ET

Всё понял, спасибо. Тему можно закрыть, я думаю.