-
Junior Member
- Вес репутации
- 51
Порнобаннер SMS
Добрый день!
Подцепил порнобаннер с разблокировкой по смс. Гад не давал запускать программы и выключать комп. В безопасном режиме Cure IT нашел полтора десятка торянов типа trojan.packed.20032, trojan.PWS.Ibank.28, trojan.Oficla.38. Баннер остался. Отключил при помощи базы кодов разблокировки на сайте DrWeb. Посмотрите, пожалуйста на останта паразитов. На сайты антивиросов войти невозможно, антивирус не обновляется. Помнится еще что-то в реестре надо удалить.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('c:\documents and settings\bean\application data\netprotocol.exe','');
TerminateProcessByName('c:\documents and settings\bean\application data\netprotocol.exe');
DeleteFile('c:\documents and settings\bean\application data\netprotocol.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PicNotify','DLLName');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=78277
4. Пофиксите в HijackThis:
O20 - Winlogon Notify: PicNotify - PicNotify.dll (file missing)
5. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 51
-
Выполните скрипт в AVZ:
Код:
begin
DeleteFile('appmgmts.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}','DLLName');
ExecuteSysClean;
RebootWindows(true);
end.
Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 51
-
Ничего зловредного в логах не увидела.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 51
Спасибо, теперь я спокоен!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\bean\application data\netprotocol.exe - Backdoor.Win32.Buterat.jg ( DrWEB: Trojan.Click1.4790, BitDefender: Gen:Variant.Oficla.3, AVAST4: Win32:Trojan-gen )
-