Printable View
Подцепил через одноклассники блокиратор.
В безопасный не заходит, залипание клавиш не срабатывает(((
В эксплорере билайновский номер и просьба положить 410 рэ.
Через ERD Commander LiveCD сделал откат на один день.
Система поднялась, дайте пожайлуста рекомендаций по дальнейшим действиям.
Логи вот:
На какой номер просили СМС прислать?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\cBVl53R.exe','');
QuarantineFile('C:\Documents and Settings\Lidia\Local Settings\Temporary Internet Files\Content.IE5\SLYDSVXT\flash_player_10.2[1].exe','');
DeleteFile('\\?\globalroot\systemroot\system32\cBVl53R.exe');
DeleteFile('C:\Documents and Settings\Lidia\Local Settings\Temporary Internet Files\Content.IE5\SLYDSVXT\flash_player_10.2[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Логи повторить.
Карантин прислать в обязательном порядке по красной ссылке вверху темы.
[QUOTE=PavelA;643869]На какой номер просили СМС прислать?
[SIZE=1][COLOR=#666686][B][I][/QUOTE][/I][/B][/COLOR][/SIZE]
Да не СМС!!! Просит денег положить на определенный номер телефона)))) Совсем обнаглели блокеры)))
Карантин закачал, новые логи вот:
Баннер исчез?
профиксить:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\cBVl53R.exe,[/CODE]
[QUOTE=PavelA;644037]Баннер исчез?
[/QUOTE]
Павел, я в первом сообщении написал, что сделал откат системы на один день (из под ERD Commander) от заражения, поэтому банер и исчез, но хвосты ведь остались...
F2 - пофиксил
Есть еще что нибудь подозрительного?
Более ничего не увидел, но можно зачистить "хвосты", сделав лог Combofix
[QUOTE=PavelA;644043] лог Combofix[/QUOTE]
Сделал лог (в архиве):
C:\Documents and Settings\AutoCAD2007 -- вот эта штука Ваша?
[QUOTE=PavelA;644086]C:\Documents and Settings\AutoCAD2007 -- вот эта штука Ваша?[/QUOTE]
Да. По корректности размещения ничего сказать не могу, так как комп бухгалтера, но AutoCAD2007 установлен и работоспособен...
[QUOTE]C:\Documents and Settings\AutoCAD2007\autocad2007sp1.exe
C:\Documents and Settings\AutoCAD2007\System
C:\Documents and Settings\AutoCAD2007\System\FM20.DLL
C:\Documents and Settings\AutoCAD2007\System\FM20CHS.DLL
C:\Documents and Settings\AutoCAD2007\System\FM20CHT.DLL
C:\Documents and Settings\AutoCAD2007\System\FM20DEU.DLL
C:\Documents and Settings\AutoCAD2007\System\FM20ENU.DLL
C:\Documents and Settings\AutoCAD2007\System\FM20ESN.DLL
C:\Documents and Settings\AutoCAD2007\System\FM20FRA.DLL
C:\Documents and Settings\AutoCAD2007\System\fm20ita.dll
C:\Documents and Settings\AutoCAD2007\System\FM20JPN.DLL
C:\Documents and Settings\AutoCAD2007\System\FM20KOR.DLL
C:\Documents and Settings\AutoCAD2007\System\FM20NLD.DLL
C:\Documents and Settings\AutoCAD2007\System\FM20PTB.DLL
C:\Documents and Settings\AutoCAD2007\System\FM20SVE.DLL
C:\Documents and Settings\AutoCAD2007\System\SCP32.DLL
C:\Documents and Settings\AutoCAD2007\System\VBAME.DLL[/QUOTE]
восстановите эти файлы - смотрите [URL="http://virusinfo.info/showpost.php?p=514765&postcount=3"]тут[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\?\globalroot\systemroot\system32\cbvl53r.exe - [B]Trojan-Dropper.Win32.Small.fas[/B] ( DrWEB: Trojan.DownLoad.64043 )[/LIST][/LIST]