-
Junior Member
- Вес репутации
- 55
ещё один комп с порнобаннером (отправьте смс на 3649)
знакомая где-то подцепила на свой комп этот вирус..
AVP и AVZ не запускаются, удалось сделать HijackThis.log в безопасном режиме, правда при выполнении сканирования комп перезагружается. но лог сохранился
хотел сам пофиксить, но знаний маловато, да и уверенности не хватает..)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\WeHGP.dll
правильно? или надо ещё какие-нибудь строки пофиксить?
--
P.S.комп к интернету не подключен.
P.P.S.вирей там видимо хватает.. на флэшке вместе с логом появился ещё autorun.inf и 2 каких-то dll
Последний раз редактировалось krexxxer; 01.08.2010 в 00:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Абсолютно верно.
Пофиксите в Hijackthis:
Код:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\WeHGP.dll
Перезагрузите ПК. После обязательно сделайте логи AVZ и новый лог Hijacka.
-
-
Junior Member
- Вес репутации
- 55
пофиксил, перезагрузил, сделал логи.
Последний раз редактировалось krexxxer; 01.08.2010 в 00:22.
-
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Program Files\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Program Files\Internet Explorer\qipsearchbar.dll
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\3124.tmp','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\CCA.tmp','');
QuarantineFile('C:\WINDOWS\system32\FE0.exe','');
QuarantineFile('c:\windows\system32\winagent.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
QuarantineFile('C:\WINDOWS\system32\WeHGP.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
DeleteFile('C:\WINDOWS\system32\WeHGP.dll');
DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
DeleteFile('c:\windows\system32\winagent.exe');
DeleteFile('C:\WINDOWS\system32\FE0.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\CCA.tmp');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\3124.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Internet Agent');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 55
скрипты выполнил, карантин отправил, логи прикладываю
Последний раз редактировалось krexxxer; 01.08.2010 в 00:22.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\local settings\temp\cca.tmp - Packed.Win32.Katusha.i ( DrWEB: Trojan.PWS.Banker.30376 )
- c:\documents and settings\администратор\local settings\temp\3124.tmp - Trojan-Downloader.Win32.Hegeny.aj ( DrWEB: Trojan.PWS.Banker.30376, AVAST4: Win32:Malware-gen )
- c:\program files\internet explorer\svcnost.exe - Trojan.Win32.Delf.rzx ( DrWEB: Trojan.Siggen.31140, BitDefender: Gen:Trojan.Heur.amKfrvLf8ZkID, NOD32: Win32/Qhost.NQQ trojan, AVAST4: Win32:Delf-NAA [Trj] )
- c:\windows\system32\wehgp.dll - Trojan-Ransom.Win32.SMSer.td ( DrWEB: Trojan.BrowseBan.128, NOD32: Win32/AutoRun.Delf.EL worm )
- c:\windows\system32\winagent.exe - Backdoor.Win32.Buterat.aq ( DrWEB: Trojan.Click.31902, BitDefender: Worm.Generic.103345, NOD32: Win32/Kryptik.BHG trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
-