-
Junior Member
- Вес репутации
- 56
порнобаннер
поймал порнобаннер, через оперу 10.10, win xp pro sp3 2002 год, лицензия.
с какого сайта - понятия не имею, непосредственно перед этим качал из исполняемых файлов utorrent 2.0 rc, заходил на хабрахабр (где и взял ссылку на торрент), качал торрентом дистр wine (набор deb файлов).
проверился при помоще Cure It! из под линукса (установлен на этой же машине) - ничего не нашел. проверился Cure It! из безопасного режима win xp - он нашел и удалил пару файлов, при этом 2 раза вылетал в перезагрузку в процессе проверки, каждый раз на более поздней стадии. в 3 раз проверка дошла до конца и ничего не было найдено. перезагрузился в обычный режим. порнобаннер на месте. перезагрузился опять в безопасный режим, проверился еще раз кьюре итом- ничего не нашлось. полез в реестр, поправил "hklm/software/microsoft/windows nt/current version/winlogon/userinit" на "c:\windows\system32\userinit.exe," порнобанер остался. оказалось что его можно прибить cmd->taskkill /f /im plugin.exe опять посмотрел в реестр и убрал из обычной автозагрузки файл "c:\program files\plugin.exe", перезагрузился.
порнобанер исчез, но на душе неспокойно - вдруг остались какие-то следы его в системе. и последнее. в систему у меня установлен маленький проксик 3proxy, установлен как служба, поэтому я не отключал его на время проверки (насчет служб указания не было). на него ругается avz, но это полезная программа с открытым исходным кодом, а не вирус, прошу учесть этот факт и не писать в чистящий скрипт, буде таковой мне сделаете команд на удаление 3proxy
Последний раз редактировалось dtbeaver; 04.02.2010 в 16:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
QuarantineFile('C:\3proxy\bin\3proxy.exe','');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 56
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
