Был SMS вымогатель вроде бы удалил, но есть подозрение что остались хвосты
логи после sms вымогателя
Был SMS вымогатель вроде бы удалил, но есть подозрение что остались хвосты
Последний раз редактировалось DZon; 16.07.2010 в 13:57.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} QuarantineFile('I:\autorun.inf',''); QuarantineFile('I:\semo2x.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\gengjtz.exe',''); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\gengjtz.exe'); DeleteFile('I:\semo2x.exe'); DeleteFile('I:\autorun.inf'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit} RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса} RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить автоматические запросы элементов управления ActiveX} RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX} RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса} RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные} DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job'); DeleteFile('WindowsCheck.job'); DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true); DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.
Уважаемый(ая) DZon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
