-
Junior Member
- Вес репутации
- 53
Очередной черный порнобаннер просит отправтиь смс
Вообщем проблема очень похожа на
http://virusinfo.info/showthread.php...ht=3649&page=2
единственное код m213200008 на номер 3649
avz, cure it и другие утилиты не запускаются - либо перезагрузка(avz) либо опять вылезает баннер. Стандартные функции типа gpedit.msc, альтернативные диспетчеры задач не работают. Загружается только msconfig, но в нём ничего интересного не осталось, только вирус.
Думаю если до выхов вопрос не решится, скорее всего придется на выхах сносить винду.
Лог hijackthis прикладываю, удалось запустить с флэшки из под фара или тотал командера (уже не помню)
LiveCD dr.web ничего не нашел
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\pEgUX.dll
Незамедлительно перезагрузитесь и попробуйте сделать логи по правилам.
-
-
Junior Member
- Вес репутации
- 53
ок, спасибо, попробую завтра, сегодня уже нет сил сражаться пора спать и завтра на работу
Последний раз редактировалось cl2be; 02.12.2009 в 07:10.
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось pig; 02.12.2009 в 20:11.
Причина: карантин в теме - моветон
-
Junior Member
- Вес репутации
- 53
-
virusinfo_cure.zip - уберите из темы!!! Почему логи сделаны в безопасном режиме?
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\internet explorer\svcnost.exe');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\smss.exe','');
QuarantineFile('c:\program files\internet explorer\svcnost.exe','');
QuarantineFile('C:\WINDOWS\system32\pEgUX.dll','');
DeleteFile('C:\WINDOWS\system32\pEgUX.dll');
DeleteFile('c:\program files\internet explorer\svcnost.exe');
DeleteFile('C:\smss.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('G:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','act0');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам в обычном режиме.
-
-
Junior Member
- Вес репутации
- 53
> Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы
Отпишите пожалуйста получилось отправить или нет.
Логи
-
карантин пришел. В логах чисто. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Agent.cvmb ( DrWEB: Trojan.DownLoad1.11694, NOD32: Win32/Delf.OVP trojan )
- c:\program files\microsoft common\svchost.exe - Trojan.Win32.Vilsel.odw ( DrWEB: Win32.HLLW.Autoruner.6815, BitDefender: Gen:Trojan.Heur.GM.00488160A0, NOD32: Win32/AutoRun.FakeAlert.AF worm, AVAST4: Win32:AutoRun-AZS [Wrm] )
- c:\windows\system32\pegux.dll - Trojan-Ransom.Win32.Agent.hz ( DrWEB: Trojan.BrowseBan.129 )
- g:\autorun.inf - Trojan.Win32.AutoRun.oc ( BitDefender: Trojan.AutorunINF.Gen )
-