вымагатель 3pic.com

Printable View

07.05.2010, 05:55
tol

вымагатель 3pic.com

на экране заставка с требованием отправки смс за деньги от сайта 3pic.com. Нашел ключи на каспере и снял заставку. Помогите плиз удать саму программу.
В журнале хайдждака есть 023 где файл отсутствует (Sony...) эту запись можно удалить? В помощи вы указываете разрешить Восстановление системных файлов при постояной работе, где-то советуют обратное? АВЗ находит проблемную настройку Разрешить доступ анононимного пользователя, но не меняет ее?
07.05.2010, 06:45
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\esp26AE.tmp','');
DeleteFile('C:\WINDOWS\Temp\esp26AE.tmp');
QuarantineFile('C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE','');
QuarantineFile('C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
07.05.2010, 16:38
tol

присылаю virusinfo_syscheck.zip
07.05.2010, 16:49
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\Temp\esp26AE.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\Temp\esp26AE.tmp');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте лог virusinfo_syscheck.zip;
07.05.2010, 18:03
tol

выполнил новый скрипт, прилагаю лог
07.05.2010, 19:01
polword

Пришлите файл C:\WINDOWS\Temp\esp26AE.tmp запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
07.05.2010, 22:38
tol

там его нет, в скрипте было его стирание, значит стерся?
08.05.2010, 00:15
polword

Скачайте [URL="http://www.xs4all.nl/~fstaal01/downloads/regsearch.zip"]http://www.xs4all.nl/~fstaal01/downloads/regsearch.zip[/URL], в первую строчку введите esp26AE.tmp и нажмите ОК, откроется текстовый файл, запакуете его и приложите сюда.
08.05.2010, 09:22
tol

спасибо что просвещаете, вот файл
08.05.2010, 14:02
thyrex

Давайте сначала попробуем такой рецепт

Выполните скрипт в AVZ
[CODE]begin
SysCleanAddFile('C:\WINDOWS\Temp\esp26AE.tmp');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится

После перезагрузки выполните еще раз рекомендацию из сообщения №8
08.05.2010, 16:41
tol

вот новый файл
08.05.2010, 16:45
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\B2BDFEC8');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\B2BDFEC8');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\B2BDFEC8');
DeleteFile('C:\WINDOWS\TEMP\esp26AE.tmp');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте лог virusinfo_syscheck.zip;
13.05.2010, 15:39
tol

послал virusinfo_syscheck.zip;
13.05.2010, 15:44
thyrex

Куда послали? Нужно к сообщению прикрепить
23.05.2010, 14:08
tol

[URL="http://virusinfo.info/attachment.php?attachmentid=240119&stc=1&d=1274616612"]virusinfo_syscheck.zip[/URL] (15.7 Кб)
23.05.2010, 14:45
thyrex

Чисто

Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
26.05.2010, 11:35
tol

Спасибо за помощь

Спасибо за помощь. Вот еще есть вопрос, у мня разрешен доступ к дискам анонимного пользователя, как это поменять/изменить, это надо новую тему сделать?
26.05.2010, 13:44
polword

[QUOTE=tol;643976] Вот еще есть вопрос, у мня разрешен доступ к дискам анонимного пользователя, как это поменять/изменить,[/QUOTE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.[/CODE]
27.05.2010, 14:26
tol

Cпасибо, а можно эту настройку менять средствами виндоуса? Этот скрипт на все случаи или только для моих текущих программ, настроек?
Почему-то не обновились базы, проблема с загрузкой описания баз (так кажется называется), это не должно быть связано с изменением доступа анонимного пользователя?
27.05.2010, 14:33
polword

нет не должно
27.05.2010, 16:00
tol

Спасибо!!!

Спасибо за помощь, Пермь и Солигорск рулят
28.05.2010, 16:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]