Добрый день!
Не получается полностью избавиться от заразы - после лечения последствий порнобаннера выскакивают автоматически окна при загрузке и еще пишет, что не может найти srnh.lto.
Посмотрите, пожалуйста, логи.
Printable View
Добрый день!
Не получается полностью избавиться от заразы - после лечения последствий порнобаннера выскакивают автоматически окна при загрузке и еще пишет, что не может найти srnh.lto.
Посмотрите, пожалуйста, логи.
Пофиксите в HiJack
[CODE]F2 - REG:system.ini: Shell=Explorer.exe, rundll32.exe srnh.lto iqfnr
F2 - REG:system.ini: UserInit=H:\WINDOWS\system32\userinit.exe,H:\WINDOWS\system32\expsrv.exe,\\?\globalroot\systemroot\system32\OHKCizG.exe,\\?\globalroot\systemroot\system32\X9euP06.exe,H:\WINDOWS\system32\spdr64.exe,userinit.exe,H:\WINDOWS\system32\sdra64.exe,[/CODE]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-00401C608512}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ine32.exe','');
QuarantineFile('H:\WINDOWS\system32\spdr64.exe','');
QuarantineFile('H:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('H:\WINDOWS\system32\expsrv.exe','');
QuarantineFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
DeleteService('Physical Memory Protector');
QuarantineFile('H:\WINDOWS\system32\spdr64.dll','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
DeleteFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','shell');
DeleteFile('H:\WINDOWS\system32\expsrv.exe');
DeleteFile('H:\WINDOWS\system32\sdra64.exe');
DeleteFile('H:\WINDOWS\system32\spdr64.exe');
DeleteFile('H:\WINDOWS\system32\spdr64.dll');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ine32.exe');
DeleteFileMask('C:\Program Files\Common Files\SysAware Soft', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\SysAware Soft');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
Спасибо. Карантин отправила. Вот логи:
Выполните скрипт в AVZ
[code]begin
ExecuteREpair(9);
ExecuteREpair(19);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Сделала.
Плохого не видно
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Спасибо, компьютер ведет себя как здоровый :)
Про патчи - за гранью моих компьютерных возможностей, постараюсь разобраться что по той ссылке есть патчи....
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] h:\windows\system32\sdra64.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Trojan.PWS.Panda.122, AVAST4: Win32:Malware-gen )[*] h:\windows\system32\spdr64.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Trojan.Inject.8953, AVAST4: Win32:Malware-gen )[/LIST][/LIST]