Информер 5121

Printable View

30.05.2010, 19:07
trump

Информер 5121

Обнаружил банер, СМС на номер 5121, текст 1011400. Убрал кодом [COLOR="Red"]123839687[/COLOR].Хотел бы почистить комп. Стоит AVP Workstations 6.0.3.837 c последними обновлениями.
30.05.2010, 19:13
polword

C:\WINDOWS\system32\cmdow.exe- сами ставили?

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
QuarantineFile('C:\Documents and Settings\Виктор\Application Data\netprotocol.exe','');
DeleteService('Netprotocol');
DeleteFile('C:\Documents and Settings\Виктор\Application Data\netprotocol.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
30.05.2010, 20:23
trump

cmdow.exe не ставил
31.05.2010, 09:30
trump

Логи высылать?
31.05.2010, 09:43
polword

да
31.05.2010, 09:56
trump

Вот новые логи.
31.05.2010, 10:21
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
31.05.2010, 10:42
trump

Скрипт выполнил. Лог высылаю.
31.05.2010, 10:45
polword

чисто.

Осталось обновить систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
- поставте [URL="http://www.adobe.com/go/EN_UK-H-GET-READER"]Adobe Reader 9.3[/URL] или удалите старый.

- Проведите процедуру, которая описана в первом сообщении [URL="http://virusinfo.info/showthread.php?t=3519"]тут[/URL].
31.05.2010, 11:56
trump

Все выполнил. Polword, большое спасибо!

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

Файл сохранён как 100531_112819_virusinfo_files_E76694FB3A40472_4c03651321fce.zip
Размер файла 5975936
MD5 3ce4bf5a31d12b9c3059c954cf5b1388
01.06.2010, 11:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\cmdow.exe - [B]not-a-virus:RiskTool.Win32.HideWindows[/B][/LIST][/LIST]