-
Junior Member
- Вес репутации
- 53
iLite Net Accelerator - просит отправки смс
Добрый день! Симптомы те же что здесь. После перезагрузки вылезает окно iLite Net Accelerator, просит отправить смс. Мешает открыть диспетчер задач, редактор реестра.
Эта проблема только у пользователя 1 - с ограниченными правами.
У пользователя 2 (админ) такого нет.
Проверка куритом ничего не дала, АВПтул доходит до 51%.
Нашел файлы, которые не могу удалить даже через безопасный режим
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\ciwemchr.dll
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\drbulm.dll
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\dvyf.dll
Прямое чтение C:\Documents and Settings\1\Local Settings\Temp\zztjn.dll
Заранее спасибо за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Батники в автозагрузке и на дисках H: и Z: насколько я понимаю, ваши?
Используя учетку 2, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\ciwemchr.dll','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\drbulm.dll','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\dvyf.dll','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\zztjn.dll','');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\ciwemchr.dll');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\drbulm.dll');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\dvyf.dll');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\zztjn.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Входите опять же пользователем 2.
Очистите полностью папку
C:\Documents and Settings\1\Local Settings\Temp.
Проверьте, есть ли какие-нибудь exe файлы в папке
C:\Documents and Settings\1\Application Data
(именно в ней самой, а не в подпапках).
Если есть, добавьте в карантин AVZ, а у себя удалите.
Пришлите карантин согласно приложению 3 правил.
Пробуйте загрузку пользователем 1.
При возможности сделайте логи под ним, только надо дать ему права администратора.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Спасибо, проблема исчезла. Карантин отправил.
Остается добавить, что в папке temp находились еще эти файлы, пришлось их тоже удалить через AVZ
b.bat
hclxsf.bat
kcszh.bat
tbvc.bat
При входе под юзером 1 пытается найти и запустить b.bat
Не знаю, попали ли эти файлы в карантин.
Еще раз СПАСИБО.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
-