И снова порно-СМС

[itch]

В общем-то стандартный сценарий: полазили по порнушке и "для просмотра видео скачали программу воспроизведения".
КИС 7,0 со свежими на тот момент базами прошляпил это дело.
В безопасном режиме убил и удалил файлы процессов из временной папки, отвечавшие за вывод сообщения с требованием отправить смс.
CureIT нашел некий userlib.dll и удалил. Обновленный КИС также нашел Virut.ce и Smiscer.aw.

Сейчас сообщение не выводится, машинка в инет пока не выходит, хотя пинги идут.

[snifer67]

Пофиксить в HijackThis

Код:

R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\das7.tmp

ПК перезагрузите.

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelSPIByFileName('C:\Documents and Settings\Администратор\Cookies\userlib.dll', false);
 QuarantineFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\das7.tmp','');
 DeleteFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\das7.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
ExecuteWizard('TSW',3,3,true);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

УдалитеBonjour.

Сделайте новые логи.

[light59]

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll');
 DelSPIByFileName('C:\Documents and Settings\Администратор\Cookies\userlib.dll', false);
 ExecuteRepair(11);
ExecuteSysClean;
 ExecuteRepair(14);
RebootWindows(true);
end.

Компьютер перезагрузится.

Повторите пункт 2 диагностики

Добавлено через 1 минуту

"для просмотра видео скачали программу воспроизведения".

Если можете, то прямую ссылку на скачивание этой программы мне в личку дайте.

[itch]

Пофиксить в HijackThis.....
Выполните скрипт в avz.....
Пришлите карантин.....

Удалите Bonjour.
Сделайте новые логи.

Пофиксил. Выполнил. Карантин пустой, т.к. те файлы были удалены или ручками из temp'а или Cureit'ом.

Bonjour не удаляется:

Код:

C:\Documents and Settings\Администратор>sc stop "Bonjour Service"
[SC] OpenService FAILED 1060:

C:\Documents and Settings\Администратор>sc delete "Bonjour Service"
[SC] OpenService FAILED 1060:

После всех манипуляций:
1. Пропала панель с кнопками запущенных приложений (языковая панель осталась на всю ширину панели задач, быстрый запуск - стал выключенным, но включился)
2. КИС не грузится, хотя в диспетчере задач 3(!) процесса avp.exe

Сейчас сделаю новые логи и выложу.

Добавлено через 7 минут

блин, а система то оказывается раком встала половина служб не запустилась

[itch]

в общем система конкретно стала тормозить. как я уже говорил, нет панели с кнопками запущенных программ, половина служб не загружается.

вот новые логи.

[itch]

проблема с панелью задач была связана судя по всему с какой-то ошибкой при запуске службы RPC, из-за нее не стартовали остальные службы и загрузка до рабочего состояния растягивалась минут на 20.
сделал кучу манипуляций бубном в т.ч. твик реестра для поднятия RPC, LSP-Fix, еще что-то (уже не помню) и после chkdsk /f система вроде вернулась на исходную.
господа хелперы, скажите мне, пожалуйста, что система чиста.
спасибо.

[itch]

подозрительного ничего не вижу.

Тогда можно закрыть тему.
Спасибо.
Уже второй раз этот ноут лечу с помощью вашего проекта.
В следующий раз переставлю на windows 7 ;-)