Добить баннер "фотошопа"

Printable View

08.06.2010, 21:44
job-alex

Добить баннер "фотошопа"

Собственно как и многие другие, вчера "словил" photoshop.exe, который запускал баннер на рабочий стол и никак не хотел удаляться и блокировал многие процессы.
Сегодня после обновления касперского он был удален.
Интересует вопрос - не осталось ли чего еще зловредного от него на компьютере? :)
08.06.2010, 21:58
DefesT

virusinfo_cure.zip - уберите из вложений
Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\m0QqKU4.exe','');
QuarantineFile('C:\Program Files\Common Files\Office files\word.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\sisxvy32.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
DeleteFile('C:\Program Files\Common Files\Office files\word.exe');
DeleteFile('\\?\globalroot\systemroot\system32\m0QqKU4.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','shell');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
08.06.2010, 23:23
job-alex

Заархивированный файл выслал.
Сделал новые логи.
08.06.2010, 23:26
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)[/CODE]
Больше ничего плохого
08.06.2010, 23:35
job-alex

Пофиксил указанные строки.
На текущий момент вроде бы больше никаких визуальных проявлений зловредов.

Спасибо большое! :)
08.06.2010, 23:37
DefesT

Пожалуйста, обращайтесь если что.
Рекомендуется к изучению - [url]http://security-advisory.virusinfo.info[/url]
09.06.2010, 23:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\главное меню\программы\автозагрузка\sisxvy32.exe - [B]Packed.Win32.Krap.ar[/B] ( AVAST4: Win32:MalOb-BH [Cryp] )[*] \\?\globalroot\systemroot\system32\m0qqku4.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20385, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]