Был порно баннер на рабочем столе с просьбой отправить смс с номером 4579306 на 5121. Я его разблокировала с помощью кода, а что дальше делать?
Printable View
Был порно баннер на рабочем столе с просьбой отправить смс с номером 4579306 на 5121. Я его разблокировала с помощью кода, а что дальше делать?
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\System32\syssetup.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\iCRGirN.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\iCRGirN.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Мне не удается корректно выполнить первый скрипт.
В процессе "поиск IIS - удаление файлов журнала", мне выводится системное сообщение Windows о том, что отсутствует диск со следующим текстом:
Exception Processing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c
AVZ зависает, после принудительного отключения у меня не управляется компьютер, на любое действие "отказано в доступе", после перезагрузки все в норме, вроде бы.
подправил. Выполните сейчас
сделала
[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксите[/url] в HijackThis следующие строки:
[quote]
O1 - Hosts: 85.12.46.140 odnoklassniki.ru
O1 - Hosts: 85.12.46.140 [url]www.odnoklassniki.ru[/url]
O1 - Hosts: 85.12.46.140 vkontakte.ru
O1 - Hosts: 85.12.46.140 [url]www.vkontakte.ru[/url]
O1 - Hosts: 85.12.46.140 vk.com
O1 - Hosts: 85.12.46.140 [url]www.vk.com[/url]
[/quote]
После перезагрузки сделайте новый лог HijackThis.
Выполните в AVZ скрипт [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
а я вручную уже удалила эти строки
hosts я чистила вручную, новый лог сделала.
Уязвимости устранила, на данный момент их 0
Проблема решена?
Не знаю, вот это и хочу узнать )) Банер с которого все началось я сама убрала еще до обращения, а сюда обратилась узнать - осталось ли еще какое-либо заражение.
На момент обращения на компьютере был вредоносный файл: \\?\globalroot\systemroot\system32\iCRGirN.exe - Trojan.Packed.20385.
Теперь чисто.
Спасибо, значит решена.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\?\globalroot\systemroot\system32\icrgirn.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20385, BitDefender: Rootkit.37035, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]