Баннер (оплата через терминал)

Printable View

21.08.2010, 13:12
Velzevul

Баннер (оплата через терминал)

Баннер заблокировал работу компьютера, не открывались ни диспетчер задач, ни какие-либо приложения.
Через erd commander в реестре были найдены следующие значения:
в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit: c:\windows\System32\userinit.exe, C:\DOCUME~1\USER3\Local Settings\Temp\tempsys.exe
shell: Explorer.exe
в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs: c:\windows\system32\tb.dll

В userinit оставлено только c:\windows\System32\userinit.exe

После чего баннер исчез, но вместе с ним и потерялась панель задач.

[ATTACH]262615[/ATTACH]

[ATTACH]262616[/ATTACH]

[ATTACH]262617[/ATTACH]
21.08.2010, 13:18
thyrex

Пофиксите в hiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\tb.dll[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('explorer.exe,c:\documents and settings\администратор\csrss.exe','');
QuarantineFile('c:\documents and settings\администратор\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\tb.dll','');
QuarantineFile('C:\DOCUME~1\USER3\Local Settings\Temp\tempsys.exe','');
DeleteFile('C:\DOCUME~1\USER3\Local Settings\Temp\tempsys.exe');
DeleteFile('C:\WINDOWS\system32\tb.dll');
DeleteFile('explorer.exe,c:\documents and settings\администратор\csrss.exe');
DeleteFile('c:\documents and settings\администратор\csrss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
21.08.2010, 14:05
Velzevul

карантин отправлен.
новые логи.
21.08.2010, 18:36
thyrex

Проблема решена?
21.08.2010, 19:28
Velzevul

Да, спасибо.
Панель задач вернулась после отключения оформления под Висту (BricoPacks Vista).. видимо глюк какой-то был..
21.08.2010, 19:42
thyrex

Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [B]прекращена[/B]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url]
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="http://get.adobe.com/reader/otherversions/"]Acrobat Reader 9.3[/url] или удалите старый
22.08.2010, 19:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]