-
Junior Member
- Вес репутации
- 58
вымогатель iMax download manager и другие
Windows XP pro rus SP2 (да, поставлю SP3 сразу после отлечивания)
Поначалу вымогатель полностью блокировал запуск программ как в нормальном режиме, так и в безопасном.
Сканирование DrWeb LiveCD и попытки что-то сделать из-под Windows PE заметных результатов не дали.
Воспользовался генератором кодов для "отпирания" компа (при установленной дате 15.12.09) - помогло.
Сканирование DrWeb'овским сканером показало кучу троянов trojan.packed.19247 и несколько trojan.packed.666, а также модифицированный файл hosts (переадресация одноклассников).
Потом уже пошел по инструкции. Сканирование в безопасном режиме сканером от Кашперского выявило еще два трояна.
Видимо, комп еще заражен. При запуске MSIE открывается странное окно с текстом "HKCU", потом выдаются сообщения об ошибках в надстройке crawler.toolbar. Надстройка не удаляется. Появляется окно о том, что "другой пользователь установил Crawler.toolbar".
Последний раз редактировалось vgo; 07.06.2010 в 11:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteRepair(6);
ExecuteWizard('TSW', 2, 2, true);
DelCLSID('28B0E5C2-99CB-11CF-AYX5-00401C648513');
DelCLSID('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\PROGRA~1\Crawler\Toolbar\ctbr.dll','');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhx32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Пофиксте в HijackThis следующие строки:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,userinit .exe,
-
-
Junior Member
- Вес репутации
- 58
Сделал. Правда, новый лог получен уже после выполнения фикса HiJackThis. В карантине оказалось только два файла. Третьего файла на диске действительно нет - проверено из-под Windows PE.
В процессе выполнения лечащего скрипта в логе было несколько красных строк, прочитать их я не успел.
Карантин загружен
Файл сохранён как 100111_103457_virus_4b4ad4a12d167.zip
Размер файла 668293
MD5 61af2d18743c08321ae4dff0133f28f0
Crawler Toolbar удален через "Установку и удаление программ". Глюки, связанные непосредственно с ним, прошли, как больше не появляется окно "HKCU". Остается одна странность в работе MSIE: не включается режим проксирования, кнопка "Ok" в настройках подключения не работает.
Кстати, после выполнения предписанной Вами процедуры прошла еще одна странность, насчет которой я не был уверен, что это - от заражения. При входе в систему пользователем больше не выскакивает самопроизвольно окно проводника (открывались "Мои документы").
Последний раз редактировалось vgo; 07.06.2010 в 11:46.
-
В логе ничего плохого не видно.
Ставьте SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.kwc ( AVAST4: Win32:Malware-gen )
-