Здравствуйте!
Мой знакомый набрел в сети на порно-баннер, который писал, что он установлен на 30 дней, блокировал интернет и требовал отправить смс-сообщение.
Сначала что он сделал сам: переставил время на 30 дней вперед, баннер при этом перестал появляться, потом просканировал и пролечил антивирусом Nod32 и AVZ, которая у него была на компьютере. После этого переставил время обратно и баннер перестал появляться, но сеть была все равно заблокирована. Потом он позвонил мне, и я ему сказала, что надо сделать так, как написано в ваших правилах. Он вначале стал сканировать AVZ стандартным скриптом лечения/карантина и сбора информации для раздела "Помогите", но при этом случайно нажал еще и на пункт "удаление драйверов и записей реестра AVZ". Когда он это заметил, он снял галку и остановил выполнение скрипта. Потом перезагрузился и заново выполнил скрипт. Дальше все сделал так, как написано в правилах. Принес мне полученные файлы на флэшке. Их прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('netprotocol');
BC_Activate;
RebootWindows(true);
end.
Скачайте эту программу: http://www.veldhuizen.speedxs.nl/winsockxpfix.exe,
запустите и нажмите Fix. По окончании ее работы будет перезагрузка.
Затем проверьте настройки сетевых подключений и при необходимости введите их заново.
Скачайте эту программу: http://www.veldhuizen.speedxs.nl/winsockxpfix.exe,
запустите и нажмите Fix. По окончании ее работы будет перезагрузка.
Затем проверьте настройки сетевых подключений и при необходимости введите их заново.
Сделали. Но интернет не заработал. У них интернет через Домолинк (беспроводной модем), шлюз пингуется, но пакетов принимается совсем немного - всего 28, тогда как исходящих более 2000. Что-то случилось с модемом?
А сама эта программа, которая выдавала баннер, не могла еще остаться на компьютере?
Добавлено через 1 минуту
Его больше всего волнует, чтобы баннер опять не вылез. . Ну, и сеть, конечно, тоже важно восстановить
Добавлено через 1 час 46 минут
Сделали сбор информации с помощью утилиты GetSystemInfo (от Касперского). Стоит сюда прикрепить?
Последний раз редактировалось Olga2604; 10.01.2010 в 21:03.
Причина: Добавлено
В логах больше ничего плохого не видно.
Лог GSI прикрепите на всякий случай.
Может быть есть смысл пообщаться со службой поддержки провайдера.
Вчера вечером еще запустили утилиту "Kaspersky Virus Removal Tool" на системном диске. Она нашла 2 трояна с именами что-то типа Downloader и AdClick и удалила их. Но интернет так и не восстановился. На ночь еще раз запустили эту утилиту - на всех дисках. Пока результатов не знаю.
Лог GSI, который был до запуска Kaspersky Virus Removal Tool, прилагаю. Новый удастся сделать только вечером.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: