-
Junior Member
- Вес репутации
- 56
золандер+блокировка win с смс
Попросили посмотреть компьютер, так тут гадости похоже куча. Виндовс был заблокирован с просьбой отослать смс, безопасный режим не работал, скачал свежий лайф сд доктора вэба, блокировка снялась. При включение открываются два экземпляра моих документов. Также говорят что был золандер. После проверил Нодом 4 со свежими базами. Логи выкладываю. Компьютер является прокси- и видео- сервером
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 56
сп3 + заплатки пока не решился ставить на зараженную систему
-
Восстановление системы: включено
Отключите восстановление системыОтключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\crypt.dll','');
QuarantineFile('C:\SIN\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Maq.exe','');
QuarantineFile('C:\JAN\J-1-2-34-000000AAAA-11111111111-5555555555-111\Max.exe','');
QuarantineFile('C:\JAMA\CRAFT\pop.exe','');
QuarantineFile('C:\DOCUME~1\XaserVI\LOCALS~1\Temp\osama.pif','');
QuarantineFile('C:\WINDOWS\mfo.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\jmrgim.sys','');
QuarantineFile('C:\Documents and Settings\XaserVI\Application Data\fqja.exe','');
DeleteService('abp470n5');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187563');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187463');
DelCLSID('13POP6M8-1MAD-24AD-JIM1-73OP5G2223335');
DeleteFile('C:\Documents and Settings\XaserVI\Application Data\fqja.exe');
DeleteFile('C:\WINDOWS\system32\drivers\jmrgim.sys');
DeleteFile('C:\WINDOWS\mfo.exe');
DeleteFile('C:\DOCUME~1\XaserVI\LOCALS~1\Temp\osama.pif');
DeleteFile('C:\JAMA\CRAFT\pop.exe');
DeleteFile('C:\JAN\J-1-2-34-000000AAAA-11111111111-5555555555-111\Max.exe');
DeleteFile('C:\SIN\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Maq.exe');
DeleteFile('C:\WINDOWS\system32\crypt.dll');
DeleteFile('C:\Windows\Tasks\system.job');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mfo.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Пролечитесь от файловых вирусов - http://virusinfo.info/showthread.php?t=15927
После этого сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 56
карантин выслал, новын логи чуть попозже скину
-
Junior Member
- Вес репутации
- 56
Извиняюсь "чуть попозже скину " сильно затянулось) проверил нодом и live cd. Выкладываю новые логи
-
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\TEMP\ijl402.tmp');
DeleteFile('C:\WINDOWS\TEMP\ijl403.tmp');
DeleteFile('C:\WINDOWS\TEMP\ijl404.tmp');
DeleteFile('C:\WINDOWS\TEMP\ijl405.tmp');
DeleteFile('C:\WINDOWS\TEMP\ijl406.tmp');
DeleteFile('C:\WINDOWS\TEMP\ijl407.tmp');
DeleteFile('C:\WINDOWS\TEMP\ijl408.tmp');
DeleteFile('C:\WINDOWS\TEMP\ijl409.tmp');
DeleteFile('C:\DOCUME~1\XaserVI\LOCALS~1\Temp\catchme.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Очистите темп папки. Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 56
Очистить папку темп не удается
-
Больше ничего плохого.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!), также обновите Internet Explorer до 8 версии.
-
-
Junior Member
- Вес репутации
- 56
Спасибо большое=) Но у меня есть вопросик - что за файлы в темпе лежат, которые нельзя удалить? Названия у них - ijl2.tmp, ijl11.tmp, ijl10.tmp, ijlB.tmp, Perflib_Perfdata_704.dat
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения вредоносные программы в карантинах не обнаружены
-