Баннер смс, и вирусы.

Printable View

14.10.2010, 23:39
Far

Баннер смс, и вирусы.

Доброго времени суток!
В ходе скачивания на компьтере появился баннер, разблокировка которого не принесла успеха. после перезагрузки перестали запускться программы, и средства управления системой (консоль, диспетчер). Если попытаться перекликать ошибку, некоторые приложения всё же запускаются.
Спасибо.
14.10.2010, 23:56
Никита Соловьев

Пофиксите строку в hjt:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\rXu0Z48.exe,\\?\globalroot\systemroot\system32\JqWeTjL.exe,C:\WINDOWS\system32\a9ca1b35.exe,C:\WINDOWS\system32\7eacb20.exe,C:\WINDOWS\system32\akacad.exe,C:\WINDOWS\system32\ce6a0764.exe,C:\WINDOWS\system32\zfuoar.exe,C:\WINDOWS\system32\816dd3a3.exe,[/CODE]

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\psn03ctbf1.exe.exe');
QuarantineFile('c:\windows\psn03ctbf1.exe.exe','');
QuarantineFile('C:\WINDOWS\system32\zfuoar.exe','');
QuarantineFile('C:\WINDOWS\system32\JqWeTjL.exe','');
QuarantineFile('C:\WINDOWS\system32\rXu0Z48.exe','');
QuarantineFile('C:\WINDOWS\system32\a9ca1b35.exe','');
QuarantineFile('C:\WINDOWS\system32\akacad.exe','');
QuarantineFile('C:\WINDOWS\system32\ce6a0764.exe','');
QuarantineFile('C:\WINDOWS\system32\7eacb20.exe','');
QuarantineFile('C:\WINDOWS\system32\816dd3a3.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe','');
QuarantineFile('C:\WINDOWS\psn03ctbf1.exe','');
DeleteService('srv32');
DeleteFile('C:\WINDOWS\psn03ctbf1.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe');
DeleteFile('C:\WINDOWS\system32\816dd3a3.exe');
DeleteFile('C:\WINDOWS\system32\7eacb20.exe');
DeleteFile('C:\WINDOWS\system32\ce6a0764.exe');
DeleteFile('C:\WINDOWS\system32\akacad.exe');
DeleteFile('C:\WINDOWS\system32\a9ca1b35.exe');
DeleteFile('C:\WINDOWS\system32\rXu0Z48.exe');
DeleteFile('C:\WINDOWS\system32\JqWeTjL.exe');
DeleteFile('C:\WINDOWS\system32\zfuoar.exe');
DeleteFile('c:\windows\psn03ctbf1.exe.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].

Сделайте новые логи AVZ\HJT

+ Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
15.10.2010, 00:51
Far

Компьютер заработал лучше. Намного.))
15.10.2010, 19:46
Никита Соловьев

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\ntbtlog.txt');
DeleteFileMask('C:\Program Files\Common Files\4334A34Ea','*.*',true);
DeleteFileMask('C:\Program Files\Common Files\4334A0B6a','*.*',true);
DeleteFileMask('C:\Program Files\Common Files\bccb5bba','*.*',true);
DeleteFileMask('C:\Program Files\Common Files\bccb5b53','*.*',true);
DeleteFileMask('C:\Program Files\FieryAds','*.*',true);
DeleteDirectory('C:\Program Files\Common Files\4334A34Ea');
DeleteDirectory('C:\Program Files\Common Files\4334A0B6a');
DeleteDirectory('C:\Program Files\Common Files\bccb5bba');
DeleteDirectory('C:\Program Files\Common Files\bccb5b53');
DeleteDirectory('C:\Program Files\FieryAds');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\psn03ctbf1.exe.exe');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Сделайте новый лог RSIT
16.10.2010, 11:45
Far

Сделал как сказали.
16.10.2010, 12:35
Никита Соловьев

Сделайте лог [URL=http://virusinfo.info/showthread.php?t=58309]ComboFix[/URL]
17.10.2010, 12:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\chkntfs.exe - [B]Trojan.Win32.Inject.avpq[/B] ( DrWEB: Trojan.PWS.Multi.200, BitDefender: Trojan.Generic.4920956, AVAST4: Win32:Malware-gen )[*] c:\\windows\\psn03ctbf1.exe.exe - [B]Trojan.Win32.Qhost.oyg[/B] ( DrWEB: Trojan.HttpBlock.33, BitDefender: Trojan.Generic.5004595, NOD32: Win32/LockWeb.L trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]