-
Junior Member
- Вес репутации
- 52
порнобаннер и другие трояны
Доброй ночи!
Всё началось с появления порнобаннера вымогателя.
В сообщении пользователя Юльча в теме аналитика / тестирование изображение похожего было.
Блокировал выключение компьютера через пуск, запуск диспетчера задач, работу браузеров, в частности IE.
Сам баннер отключился после удаления из безопасного режима файла plugin.exe из program files.
Далее старался действовать по алгоритму Правил раздела "Помогите"
Всплыли трояны, один из них упоминаемый тут trojan.packed.19647
Вобщем, прилагаю требуемые файлы, и ...
Помогите ..., пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы: включено -- отключить.
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('F:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('F:\WINDOWS\Installer\1b6ac6.msi');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторить логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Спасибо.
Прошу прощения, вчера по горячим следам не нашел, где отключить восстановление server2003, по аналогии с xp не прошло, там на закладке только дамп памяти.
К сожалению, могу предоставить информацию только вечером (сейчас нет доступа к компьютеру).
-
Извините, не обратил внимание что это сервер.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Итак, добрался.
так как ос - server2003 автовосстановления нет, поэтому отключать нечего.
скрипт ваш выполнил,
в процессе выполнения стандартного скрипта "скрипт лечение /..." был синий экран, пришлось перегружаться и заново всё.
логи новые вкладываю
з.ы.если всё в порядке, может еще попутно подскажете как избавиться от BHO: QIPBHO. и модуля поиска по умолчанию в IE от QIP.
Я вот точно помню, что все галочки снимал при установке, а сейчас вот висит и не отключается.
-
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - F:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - F:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
В остальном все нормально.
I am not young enough to know everything...
-