-
Junior Member
- Вес репутации
- 53
Последствия удаления "Internet security" вируса
Здравствуйте
Вчера добился работоспособности (удалил окно с отправкой смс запускаются антивирусы и другие программы, до этого windows вообще не запускался ни в обычном ни в безопасном режимах) компьютера , но появилась масса интересных гадостей :
при загрузке windows после приветствия вылетает сообщение
-"rundll ошибка при загрузке aqlb.hjo"
-при включении интернета антивирус касперского то и дело обнаружает
"попытка загрузить вредоносное програмное обеспечение
объект
http://ishndor.org/brgr/abr.php" я так понял это связано Generic Host Process for win32 services "
-не работает восстановление системы "отключено групповой политикой"
-не могу удалить из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon вот эту ерунду
C:\Windows\system32\sdra64.exe , стирается но потом опять появляется
сам по себе windows стал грузится дольше ну и конечно есть что то о чем я даже не догадываюсь =(
логи приложил, спасибо
Последний раз редактировалось Liam; 26.01.2010 в 15:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)O20 - AppInit_DLLs: C:\WINDOWS\system32\c.dll
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\extasy\applic~1\bias32~1\Seekeachsurf.exe','');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
QuarantineFile('C:\PROGRAM FILES\CONNECTIONSERVICES\CONNECTIONSERVICES.DLL','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\rwlfsdmk.dll','');
QuarantineFile('C:\WINDOWS\system32\aqlb.hjo','');
QuarantineFile('C:\WINDOWS\system32\c.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\WINDOWS\system32\aqlb.hjo');
DeleteFile('C:\WINDOWS\system32\c.dll');
DeleteFile('C:\WINDOWS\rwlfsdmk.dll');
DeleteFile('C:\Windows\Tasks\A4B29F6791951A07.job');
DeleteFile('C:\PROGRAM FILES\CONNECTIONSERVICES\CONNECTIONSERVICES.DLL');
DeleteFile('c:\docume~1\extasy\applic~1\bias32~1\Seekeachsurf.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Liam; 26.01.2010 в 18:34.
-
Карантин загрузите по ссылке вверху топа Прислать запрошенный карантин. Сам virus.zip удалите из вложений!!!
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
DefesT
Карантин загрузите по ссылке вверху топа Прислать запрошенный карантин. Сам virus.zip удалите из вложений!!!
извините, готово
-
Проблема решена? Зараза удалилась.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
DefesT
Проблема решена? Зараза удалилась.
Да, спасибо большое.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.adzc ( DrWEB: Trojan.PWS.Panda.122 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-