-
Остатки банеров...
Был порно банер. Деактивировал через сервис вашего сайта, обновил НОД проверил им, удалилось более 900 файлов (в основном из windows\system32 и temp папок).
Ручками поправил в реестре строчки explorer и userinit... и поиском удалил csrcs иначе при загрузке ругался на недостающий файл.
Потом проверил при помощи DrWeb он еще кучу нашел.
Сделал логи по правилам, посмотрите плиз... наверняка еще какая-то зараза осталась.
Последний раз редактировалось Anton_Petrenko; 23.05.2010 в 22:02.
Причина: упс... логи то забыл :)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
И где логи?
Добавлено через 11 минут
Отключить восстановление системы, защитное ПО.
Профиксить:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\S5mXslU.exe,
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Program Files\AddPromoPremium\Updater.bak','');
QuarantineFile('D:\WINDOWS\system32\netprotdrvss','');
QuarantineFile('\\?\globalroot\systemroot\system32\S5mXslU.exe','');
QuarantineFile('D:\WINDOWS\System32\netprotocol.dll','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
DeleteFile('D:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
DeleteFile('\\?\globalroot\systemroot\system32\S5mXslU.exe');
DeleteFile('D:\WINDOWS\system32\netprotdrvss');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.
Последний раз редактировалось ARMA9000; 23.05.2010 в 22:11.
Причина: Добавлено
-
-
Карантил отправил
вот логи
-
Плохого не видно
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- \\?\globalroot\systemroot\system32\s5mxslu.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.DownLoad.64043, AVAST4: Win32:Malware-gen )
-