Доброго времени суток!!! поймал баннер с голыми тётками, просит отправить смс и тд, думаю Вы не раз такие встречили.помогите избавиться!!!
Логи прилагаю! получились только из бесопасного режима!
Заранее спасибо!
Printable View
Доброго времени суток!!! поймал баннер с голыми тётками, просит отправить смс и тд, думаю Вы не раз такие встречили.помогите избавиться!!!
Логи прилагаю! получились только из бесопасного режима!
Заранее спасибо!
[B]virusinfo_cure.zip[/B] - удалите из темы
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe codf.ouo lxfoyx
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
QuarantineFile('C:\WINDOWS\system32\codf.ouo','');
DeleteFile('C:\WINDOWS\system32\codf.ouo');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Извиняюсь, не тот файл прикрепил вот syschek
касперский кстати ругался, пытался отграничить system.exe
лог старый, сделайте новый
Скрипты выполнил, базы обновил новые логи прилагаю. Вложение отправляю.
в нормальном режиме сделать не получается?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\admdll.dll','');
QuarantineFile('F:\SETUP.EXE','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\SETUP.EXE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip в нормальном режиме
сейчас попробую в норм режиме. admdll.dll это от radmina 2.1
флешка загрузочная так что видимо F:\autorun.inf и F:\SETUP.EXE это от видны
Баннер исчез. логи из норм режима прилагаю
проверим всеж
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
QuarantineFile('F:\SETUP.EXE','');
QuarantineFile('F:\autorun.inf','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]
да, скрипт выполните со вставленной флешкой
карантин закачал
чисто.
Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
- поставте [URL="http://www.adobe.com/go/EN_UK-H-GET-READER"]Adobe Reader 9.3[/URL] или удалите старый.
Спасибо, как всегда выручили :) Благородное дело делаете!
С уважением...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\systems.exe - [B]Trojan-Ransom.Win32.PinkBlocker.ame[/B] ( DrWEB: Trojan.Winlock.1212, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\admdll.dll - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.20[/B] ( DrWEB: Program.RemoteAdmin.21 )[*] c:\windows\system32\codf.ouo - [B]Trojan.Win32.Oficla.o[/B] ( DrWEB: Trojan.Oficla.38, BitDefender: Trojan.Generic.3629099, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]