-
Junior Member
- Вес репутации
- 59
iLite Net Accelerator
Здравствуйте! 11 декабря 2009г. утром, после посещения интернет страниц вылезло окно следующего содержания:
"Вы нарушили условия лицензионного соглашения.
iLite Net Accelerator
Далее идет время 2 часа 59 минут 59 секунд и на убывание.
Чтобы получить код активации отправьте СМС с номером на номер для России - 3649, для Украины - 4171.
Логи сделать не могу, поскольку программы не запускаются. После попытки запуска любой программы вылазит снова окно со временем, которое бежит уже не с 2 часов 59 минут 59 секунд, а с того времени которое уже пробежало. Всплывающее окно никак не закрыть и не свернуть, оно стоит поверх всех окон.
Сделал ЛайвСД от ДрВеб, проверил всю систему, ничего не нашел.
Куреит и вирус ремовал тул запустить не могу (((
Подскажите плиз з чего начать? Очень нужен рабочий компьютер на утро ... (((
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ и HijackThis тоже не удается запустить?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
не могу ((( как только входишь в папку авз4 компьютер переходит в режим сохранение параметров при выключении и выключается (((
Добавлено через 1 час 32 минуты
установил да второй диск систему, и сейчас проверяю AVPTool, уже нашел 17 штук, тех которых не находил ЛайвСД (((
продолжаю проверку.
Будут какие-то рекомендации ?
Добавлено через 5 минут
подобная проблема http://virusinfo.info/showthread.php?t=63024
Последний раз редактировалось Vedmedya; 12.12.2009 в 09:01.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 59
Все проверил:-) пишу ниже, что нашел:
Trojan.Banker.win32.Bancos.jtf
Trojan.JS.Agent.awe ... файл с разрешением php
HEUR: Trojan.win32.Generic ... файл с разрешением dll
HEUR: Trojan.Scrapt.Generic ... файл с разрешением .js
Trojan.win32.Autorun.mr ... файл с разрешением .inf
А вот и логи.
-
1) Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\kplhla.dll
2) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Админ\Рабочий стол\Усиновлення\иск Жан Крістін.doc','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\kplhla.dll','');
DeleteFile('C:\WINDOWS\system32\kplhla.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
4) Сделайте новые логи virusinfo_syscheck.zip, hijackthis.log + такой лог: http://virusinfo.info/showthread.php?t=53070
-
-
Junior Member
- Вес репутации
- 59
Простите, что на долго пропал, вчера после обеда пришлось срочно уехать.
Профиксил, скрипты исполнил, карантин отправил (вчера еще 12.12.2009г.)
После выполнения первого скрипта машина сама не перезагрузилась.
Логи прикрепил )))
-
Удалите в mbam:
Код:
Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Заражено файлов:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\dllsys.dll (Stolen.data) -> No action taken.
C:\WINDOWS\system32\svcp.csv (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\winsub.xml (Malware.Trace) -> No action taken.
C:\WINDOWS\herjek.config (Malware.Trace) -> No action taken.
Сделайте новый лог mbam.
-
-
Junior Member
- Вес репутации
- 59
-
Чисто
Установите SP3 (может потребоваться активация) + все новые заплатки
-
-
Junior Member
- Вес репутации
- 59
спасибо. Безмерно благодарен всем!
А логи больше не нужно присылать?
И подскажите где взять СП3? и что такое заплатки?
И как действовать дальше чтоб в дальнейшем избежать подобной проблемы? Может есть какие-то статьи почитать?
-
А логи больше не нужно присылать?
Нет.
И подскажите где взять СП3? и что такое заплатки?
http://update.microsoft.com/
И как действовать дальше чтоб в дальнейшем избежать подобной проблемы?
Не лазить по порно сайтам.
-
-
Junior Member
- Вес репутации
- 59
Спасибо за помощь )))
Еще вопрос, плиз подскажите как поудалять временные файлы интернет експлорера, при проверке компа заметил, что большую часть именно они и заняли ((( разный хлам, а не знаю где он лежит и как его полностью удалить?
Очистка диска и удаление через свойства обозревателя не особ помогают.
А по порнухе я точно не лажу.
-
Сообщение от
Vedmedya
подскажите как поудалять временные файлы интернет експлорера
Панель управления - Свойства обозревателя, на вкладке Общие кнопка Удалить файлы. Там же кнопка Параметры, после удаления задайте макс. размер папки не более 50 Мб.
Добавлено через 3 минуты
Упс, прочитал до конца...
В дополнение к Свойствам оборзевателя можете вручную почистить
\Documents and Settings\пользователь\Local Settings\Temporary Internet Files
Только делать это лучше загрузившись другой учеткой или из-под LiveCD.
Последний раз редактировалось Bratez; 17.12.2009 в 15:18.
Причина: Добавлено
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-