-
Junior Member
- Вес репутации
- 52
И снова порнобанер на рабочем столе поверх всех окон
"Отправьте SMS с текстом 3378118 на номер 5121"
Нод не помог, КьюерИт тоже..
Не дает программно выключить компутер и запустить браузер.
ХР профешенал версии 2002, пак 2
Сканировали AVZ и хайджеком с влюченым Нодом,
так как при попытке его отключить, комп уходил в зависон.
Помогите!!!
Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-00401C608512');
QuarantineFile('C:\winnt\Fonts\ARIALUNI.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ine32.exe','');
QuarantineFile('C:\winnt\services.exe','');
QuarantineFile('C:\winnt\System32\Drivers\Jor14.sys','');
DeleteService('Jor14');
QuarantineFile('c:\documents and settings\all users\systems.exe','');
DeleteFile('c:\documents and settings\all users\systems.exe');
DeleteFile('C:\winnt\System32\Drivers\Jor14.sys');
DeleteFile('C:\winnt\services.exe');
DeleteFile('WinNt32.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ine32.exe');
DeleteFile('C:\winnt\Fonts\ARIALUNI.exe');
ExecuteRepair(20);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 52
Карантин отправлен, новые логи закачаны.
зы: после выполнения скрипта и последующей перезагрузки баннер исчез.
Последний раз редактировалось Машо; 20.04.2010 в 17:41.
-
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,c:\winnt\sorry.exe,\\?\globalroot\systemroot\system32\zqnenrt.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O20 - Winlogon Notify: WinNt32 - C:\winnt\
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\all users\iexplore.exe','');
QuarantineFile('c:\winnt\sorry.exe','');
QuarantineFile('globalroot\systemroot\system32\zqnenrt.exe','');
DeleteFile('globalroot\systemroot\system32\zqnenrt.exe');
DeleteFile('c:\winnt\sorry.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 52
Готово.
Строки в Hijackthis пофиксины.
Файл карантина сохранён как 100420_190343_virus_4bcdc24f778bf.zip
Размер файла 15879973
MD5 479db970e0cfbb3b71e0fc0e9fe2c878
Новые логи прилагаю.
-
Плохого не видно
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Adobe Acrobat 9.3 или удалите старый
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\systems.exe - Packed.Win32.Krap.gx ( DrWEB: Trojan.Winlock.1421, AVAST4: Win32:Malware-gen )
-