-
Junior Member
- Вес репутации
- 53
Порнобаннер, пришлите M20920007 на 3649
После загрузки ОС Windows XP (либо после небольшой задержки, либо после запуска любой программы) появляется черный баннер с тремя порнокартинками. С текстом "Рекламная панель устанавливается только при посещении нашего сайта nahalka.com (имя сайта каждый раз разное)", "Пришлите смс с текстом M20920007 на номер 3649". Блокирован редактор реестра, диспетчер задач, восстановление системы. AVZ и HijackThis запустились только после переименования, CureIt не запускается никак, AVPTool пока не пробовал.
Пока прилагаю два лога, virusinfo_syscheck будет чуть позже (до инфицированного компьютера доберусь только завтра).
Заранее спасибо за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\slzuF.dll','');
DelBHO('{88888888-8888-8888-8888-888888888888}');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\msmedia.dll','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\msmedia.dll');
DeleteFile('C:\WINDOWS\system32\slzuF.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Карантин выслал, новые логи прилагаю.
-
Пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\slzuF.dll
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
DeleteFile('C:\WINDOWS\system32\slzuF.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
AVZ => Файл => Мастер поиска и устранения проблем. Категория - "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Последний раз редактировалось snifer67; 10.12.2009 в 14:10.
-
-
Junior Member
- Вес репутации
- 53
Пофиксил Hijack'ом, а скрипт не выполняется - "ошибка "=" expected в позиции 2:3".
-
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
snifer67
Поправил.
Я так и предполагал.
Уже выполнил, пофиксил, после этого проверил и AVPTool и CureIt - в файле "O23 - Service: Wyeke Service - Unknown owner - C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke123.exe" -- (строка из HijackThis лога) был какой-то AdWare. А так проявлений вируса больше нет.
Тему можно закрывать, большое спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\application data\msmedia.dll - Trojan-Ransom.Win32.Hexzone.idz ( DrWEB: Trojan.BrowseBan.67, BitDefender: Gen:Adware.Heur.am4@59lHlAc, AVAST4: Win32:Malware-gen )
- c:\windows\system32\slzuf.dll - Trojan.Win32.Agent.dcou ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
-