На рабочем столе вылез порнобаннер с смс 733167 на номер 9800. Вылез посередине. Когда пытаюсь запустить стандартные скрипты avz, они вылязят ровно за ним. Их не видно.
Что можно сделать? Как провести диагностику?
Printable View
На рабочем столе вылез порнобаннер с смс 733167 на номер 9800. Вылез посередине. Когда пытаюсь запустить стандартные скрипты avz, они вылязят ровно за ним. Их не видно.
Что можно сделать? Как провести диагностику?
Когда окно открылось позади баннера, нажмите [I]Alt-пробел[/I]. Должно выскочить контекстное меню, в нем выберите [I]Развернуть[/I].
Сделано)
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('c:\program files\plugin.exe','');
TerminateProcessByName('c:\program files\plugin.exe');
DeleteFile('c:\program files\plugin.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
новые логи
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\gjtreh.exe','');
QuarantineFile('c:\windows\system32\4a2dab.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\gjtreh.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
Log от Combofix не смогла найти.
Карантин отправлен.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\4a2dab.exe');
DeleteFile('c:\windows\system32\4a2dab.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=40118[/url]
В процессе выполнения Gmer компьютер сам перезагружается, не завершив сканирование.
Скрипт в AVZ сделан.
[QUOTE='tikara;549249']В процессе выполнения Gmer компьютер сам перезагружается, не завершив сканирование.[/QUOTE]Попробуйте в безопасном режиме сделать
безопасный режим вообще не грузится
Выполните скрипт в avz
[code]begin
ExecuteRepair(10);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Попробуйте в безопасном режиме сделать лог gmer.
Получилось. Вот лог
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
[CODE]
2dqni28b.exe -del service wgouqpbdt
2dqni28b.exe -del file "C:\WINDOWS\system32\bmaajznp.dll"
2dqni28b.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wgouqpbdt"
2dqni28b.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wgouqpbdt"
2dqni28b.exe -reboot
[/CODE]
Сделайте новый лог gmer.
в безопасном режиме делала скрипт в Gmer.
В процессе он выдал ошибку, что C:\WINDOWS\system32\bmaajznp.dll" - не найден.
Нажала ок, он продолжил и написал, что успешно завершен.
новый лог:
:
В логе чисто
Спасибо
Установите SP3(может потребоваться активация)+все последующие обновления
Установите IE8
SP3 и IE8 поставлю. а что понимается под последующими обновлениями?
[QUOTE=tikara;551501] а что понимается под последующими обновлениями?[/QUOTE]
После выхода SP3 Майкрософт выпустила ещё много обновлений и заплаток для Windows XP. Вот они и имеются в виду.
Если у Вас Windows лицензионная и в системе включено Автоматическое Обновление, то система сама автоматически скачает и установит все эти обновления и исправления.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\plugin.exe - [B]Trojan-Downloader.Win32.Piker.atz[/B] ( BitDefender: Gen:Trojan.Heur.TP.ry0@baWIUgnc, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.WebMoner.nd[/B][*] c:\windows\system32\4a2dab.exe - [B]Backdoor.Win32.Bifrose.fsk[/B] ( DrWEB: Trojan.Spambot.4433, BitDefender: Backdoor.Generic.241564, NOD32: Win32/TrojanProxy.Agent.NEL trojan, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]