-
Junior Member
- Вес репутации
- 65
Trojan.SMS Send.310
Не знаю уж где там дети лазили, но всё началось с того, что перестал открываться "блокнот". Решила проверить комп при помощи LiveCD DrWeb - он и нашёл папку с этой бякой. Удалила, но думаю что где-то что-то ещё осталось: притормаживает и не открывается также блокнот.
Просю помощи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) BELLABRAVO, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\zipfldra.dll','');
DeleteFile('C:\WINDOWS\system32\zipfldra.dll');
DelCLSID('EzCddax extension');
DelCLSID('XCShInfo');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{463ED66E-431B-11D2-ADB0-0080C83DA4EB}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Профиксите в HijackThis
Код:
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} - https://w3s.webmoney.ru/WMAcceptor.dll
O20 - AppInit_DLLs: zipfldra.dll
Если
Код:
http://www.cane-korso.com/
не знаком, то также пофиксить
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cane-korso.com/
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 65
После выполнения скрипта комп сам не перезагрузился, т.е. осталась только заставка (голая) и так продолжалось минут 15-20, в итоге я ему помогла кнопкой
После этого не нашла в HijackThis эту строку:
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} - https://w3s.webmoney.ru/WMAcceptor.dll
Карантин закачала:
Файл сохранён как 110606_153755_virus_4decf453820d4.zip
Размер файла 2497
MD5 24385c077850418e04410e6c6205b421
свежие логи тоже.
Указанный Вами сайт мне очень хорошо знаком, в качестве домашней страницы устанавливали сами.
Спасибо. Жду дальше.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Блокнот всё также не открывается. Конечно может его кто-то "поднадкусал". Других симптомов вроде не видно.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
thyrex, дождалась окончания, в небольшом шоке
лог приложила
-
Junior Member
- Вес репутации
- 65
-
Ничего необычного
Проверьте наличие файла notepad.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Есть тут:
C:\WINDOWS - 20кб
C:\WINDOWS\system32\dllcache - 356 кб
-
Странные размеры
c:\WINDOWS\system32\notepad.exe замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Ну раз ничего страшного в итоге не обнаружилось, то я просто установила AkelPad.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-