Баннер с требованием отправить СМС чтобы он исчез
Появился баннер с требованием отправить СМС для того, чтобы он исчез. Потом компьютер полностью заблокировался и отказывался загружаться. Мы проверили с помощью LiveCD и он выявил 2 файла: userinit.#xe и cssrss.#xe. В итоге комп стал загружаться но перестала грузиться сама оболочка Windows. Потом мы скопировали файл userinit с другого компа и перекинул на этот и проверили антивирусом Зайцева. Результаты отправляем Вам.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1) Пофиксите в HijackThis:
2) Выполните скрипт в AVZ:Код:O20 - AppInit_DLLs: C:\WINDOWS\system32\VEFoC.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}'); QuarantineFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll',''); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('C:\WINDOWS\system32\wbem\svchost.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); DeleteService('Winnl15'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnl15.sys',''); DeleteService('Winig21'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winig21.sys',''); DeleteService('Winei77'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winei77.sys',''); DeleteService('VIDEO'); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); DeleteService('kbnzmiqwmu'); QuarantineFile('C:\WINDOWS\system32\drivers\ntjml.sys',''); QuarantineFile('C:\WINDOWS\system32\VEFoC.dll',''); DeleteFile('C:\WINDOWS\system32\VEFoC.dll'); DeleteFile('C:\WINDOWS\system32\drivers\ntjml.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winei77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winig21.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnl15.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Help Service'); DeleteFile('C:\WINDOWS\services.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services'); DeleteFile('C:\WINDOWS\system32\wbem\svchost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','windump'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','windump'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(11); ExecuteRepair(17); ExecuteWizard('TSW', 3, 3, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
3) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
4) Сделайте новые логи.
GHETTO/STREET WORKOUT
Спасибо огромное за помощь!!!!!!
В логах чисто.
Проблема полностью решена?
Немного почистим мусор:
Пофиксите в HijackThis:
Рекомендации:Код:R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\User-PC\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\User-PC\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
GHETTO/STREET WORKOUT
Извините пожайлуста. Никак не мог написать раньше.
Спасибо Вам большое. Больше никаких проблем нет. Все работает замечательно.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) samdurak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
