Printable View
Добрый день!
Подцепил порнобаннер с разблокировкой по смс. Гад не давал запускать программы и выключать комп. В безопасном режиме Cure IT нашел полтора десятка торянов типа trojan.packed.20032, trojan.PWS.Ibank.28, trojan.Oficla.38. Баннер остался. Отключил при помощи базы кодов разблокировки на сайте DrWeb. Посмотрите, пожалуйста на останта паразитов. На сайты антивиросов войти невозможно, антивирус не обновляется. Помнится еще что-то в реестре надо удалить.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('c:\documents and settings\bean\application data\netprotocol.exe','');
TerminateProcessByName('c:\documents and settings\bean\application data\netprotocol.exe');
DeleteFile('c:\documents and settings\bean\application data\netprotocol.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PicNotify','DLLName');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=78277[/url]
4. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[QUOTE]O20 - Winlogon Notify: PicNotify - PicNotify.dll (file missing)[/QUOTE]
5. Повторите лог [B]virusinfo_syscheck.[/B]
Спасибо! Заработало.
Выполните скрипт в AVZ:
[CODE]begin
DeleteFile('appmgmts.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}','DLLName');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Повторите лог [B]virusinfo_syscheck.[/B]
.
Ничего зловредного в логах не увидела.
Спасибо, теперь я спокоен!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\bean\application data\netprotocol.exe - [B]Backdoor.Win32.Buterat.jg[/B] ( DrWEB: Trojan.Click1.4790, BitDefender: Gen:Variant.Oficla.3, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]