Junior Member
Вес репутации
60
Вирус, открывающий Sanitardiska и несколько других рекламных сайтов
Здравствуйте! У меня стоит обновленный НОД 32 и Агнитум Файрвол 6, дал отцу посидеть за компьютером часок, когда вернулся, система была поражена вирусом. В настоящий момент его действия сводятся к тому, что в браузере ОЧЕНЬ периодически открываются окна Sanitardiska, Wek и парочка других рекламных сайтов. Помогите, пожалуйста!!!!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Обновите базы AVZ!
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS.0\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DNINDIS5.SYS','');
QuarantineFile('C:\WINDOWS.0\system32\socketa.dll','');
DeleteFile('C:\WINDOWS.0\system32\socketa.dll');
DeleteFile('C:\WINDOWS.0\system32\drivers\symavc32.sys');
DeleteService('symavc32');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socketa.dll (file missing)
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Junior Member
Вес репутации
60
Спасибо огромное, все проделал. Вот новые логи.
Вложения
В карантине:
socketa.dll - Trojan-Downloader.Win32.Agent.hnp
DNINDIS5.SYS - чистый.
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\PowerReg Scheduler.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\PowerReg Scheduler.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Больше ничего подозрительного нет.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Junior Member
Вес репутации
60
Готово. Наконец-то можно опять нормально бродить по просторам интернета. Перестали появляться всплывающие окна. Спасибо огромное!!!!
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов . Мы будем Вам очень благодарны!
Удачи!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 9 В ходе лечения обнаружены вредоносные программы:
c:\\windows.0\\system32\\socketa.dll - Trojan-Downloader.Win32.Agent.hnp (DrWEB: Trojan.BhoSpy)