-
Junior Member
- Вес репутации
- 60
Лечение после порнобанера
Добрый день!
На ноутбуке установлена Win XP SP3.
Где то в сети словили порнобанер. Удалить его просто не получилось.
Отключить удалось через сайт Касперского.
Лечение сперва было проведено Dr.Web LiveCD.
Затем AVPTool.
Были выявлены и уничтожены:
Drooper.Win32.Shiz.dm
Backdoor.Win32.Agent.avcf.
Затем провел сбор информации согласно правил.
Прошу помочь в завершении лечения.
Последний раз редактировалось -Алексей-; 13.09.2010 в 20:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключить восстановление системы, защитное ПО.
Профиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\24e95883.exe,\\?\globalroot\systemroot\system32\OG73Yog.exe,
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ResPatch\Set_logo.exe','');
QuarantineFile('C:\WINDOWS\ResPatch\Selector.exe','');
QuarantineFile('C:\WINDOWS\system32\24e95883.exe','');
QuarantineFile('C:\Program Files\plugin.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\OG73Yog.exe','');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('\\?\globalroot\systemroot\system32\OG73Yog.exe');
DeleteFile('C:\WINDOWS\system32\24e95883.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
BC_Activate;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи переделать.
-
-
А также
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\esp9570.tmp','');
DeleteFile('C:\WINDOWS\Temp\esp9570.tmp');
RegSearch('HKLM', '', 'esp9570.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл avz.log из папки AVZ прикрепите к сообщению
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Выполнил оба скрипта по очереди.
Карантин загружен:
Файл сохранён как 100531_230815_virus_4c04091f352f0.zip
Размер файла 885417
MD5 0bfaeb95b3a9e86e9634c2751b8faec1
avz.log приложен.
Логи выполняются.
Последний раз редактировалось -Алексей-; 13.09.2010 в 20:31.
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось -Алексей-; 13.09.2010 в 20:31.
-
Выполните скрипт в AVZ
Код:
begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\57C165B2');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\57C165B2');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\57C165B2');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Скрипт выполнен.
Думаю попробовать подключение к сети интернет ...
Последний раз редактировалось -Алексей-; 13.09.2010 в 20:31.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Файл сохранён как 100602_233442_virus_4c06b2524de10.zip
Размер файла 885426
MD5 5586eaafd8213a1c2b932eef68b5f4f6
Хотел сказать, что у людей похоже был и доступ в инет нарушен, так как антивирус отказывался обновляться. После лечения обновился. И когда обратился к карантину, то AVIRA среагировал. Но я попросил его игнорировать сей факт.
Последний раз редактировалось -Алексей-; 13.09.2010 в 20:31.
-
Чисто
Установите Internet Explorer 8 (даже если им не пользуетесь)
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-