Порноинформер 3381

Добрый вечер.
Ребенок друзей подхватил порнобаннер с просьбой отправить смс на номер 3381. На корню был убит NIS 2010. Не открывались сайты производителей антивирусов. Не запускались большинство приложений, в том числе AVZ. Сработал только Хиджак. Почитал на форуме пару десятков тем про этот информер и обнаружил, что все модули инициализации (App Init DLLs, 20-ый пункт[SIZE=2][FONT=Verdana]), используемые баннером и обнаруживаемые с помощью ERD Commander'а находятся в игнорлисте Хиджака. Вручную поудалял все перечисленные там файлы - баннер пропал.Сейчас все работает (восстановление системы, редактор реестра, обновление системы и т.д.), но не открываются антивирусные сайты и по-прежнему мертв Norton. [/FONT][/SIZE][FONT=Verdana][SIZE=3][FONT=&quot]

[/FONT][/SIZE][/FONT]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('D:\WINDOWS\system32\AESTFltr.exe','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe','');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(17);
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=79040[/url]

4. Повторите лог [B]virusinfo_syscheck.[/B]

Файл сохранён как 100522_081247_quarantine_4bf759bff12b8.zip
Размер файла 21959
MD5 ecd58c789d47cf1ca1be278a60e44412

Ничего зловредного в логах не увидела. Что с проблемой?

Проблема решена полностью. Переустановил NIS, после полного сканирования системы он нашел еще шесть троянов-даунлоадеров (у Симантека своя классификация, неясно, имеют ли они отношение к сабжу или нет). Земной поклон за помощь, Александра.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\docume~1\admin\locals~1\temp\svchost.exe - [B]Packed.Win32.Krap.ao[/B] ( DrWEB: Trojan.DownLoad1.60781, BitDefender: Gen:Variant.Ursnif.8, AVAST4: Win32:Crypt-GMU [Drp] )[/LIST][/LIST]