Удачно разблокировал банер вымогатель(но не удалял его).Через пару дней закрылся доступ к сайтам известных антивирусов.Стал с перебоями работать IE8,пришлось откатить до IE7.
Printable View
Удачно разблокировал банер вымогатель(но не удалял его).Через пару дней закрылся доступ к сайтам известных антивирусов.Стал с перебоями работать IE8,пришлось откатить до IE7.
Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\oLXui4s.exe,\\?\globalroot\systemroot\system32\30mjCzG.exe,
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)[/CODE]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\30mjCzG.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\30mjCzG.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Выполните скрипт из темы [url]http://virusinfo.info/showthread.php?t=43700[/url]
Сделайте новые логи
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
[QUOTE=thyrex;655051]
Сделайте новые логи
Скачайте [URL="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([B]RSIT[/B]) в корне системного диска.[/QUOTE]
- это сделайте
Первый скрипт со второго раза только прошёл успешно,но всё таки прошёл.
Сделал.
Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Вот.
Пуск - Выполнить - regedit
Зайдите в ветку [CODE][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost][/CODE], найдите в правой части параметр [B]DcomLaunch[/B] и удалите из его значений [B]Netprotocol[/B]
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\E0En6sw.exe
c:\windows\system32\eSEikwh.exe
c:\windows\system32\lY9aVMX.exe
c:\windows\system32\FqXxAkH.exe
c:\windows\system32\bi8J2oJ.exe
c:\windows\system32\iPtZhEc.exe
c:\windows\system32\4xh66qT.exe
c:\windows\system32\snjxot.dll
c:\windows\system32\xe.dll
c:\windows\system32\pojkwi.dll
c:\windows\system32\roggumtt.dll
c:\windows\system32\j.dll
c:\windows\system32\vvupnl.dll
Driver::
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
вот он
Что с проблемой на данный момент?
Всё работало уже после первого скрипта.Спасибо огромное! А все остальные действия зачем?(если не секрет)
Много у меня зверей было и почему ни один антивирь их не заметил?
Все, что добивалось ComboFix - это вирусные файлы.
Антивирусы лишь уменьшают риск заражения, но 100% защиты не дают.
Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Удалил CF, установил IE8, отправил карантин.Ещё раз спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\?\globalroot\systemroot\system32\30mjczg.exe - [B]Trojan-Dropper.Win32.Shiz.ex[/B] ( DrWEB: Trojan.PWS.Ibank.49, BitDefender: Trojan.Generic.4205841 )[/LIST][/LIST]