Банер удален?

[Bogdanovskaya]

Был порно баннер на рабочем столе с просьбой отправить смс с номером 4579306 на 5121. Я его разблокировала с помощью кода, а что дальше делать?

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINDOWS\System32\syssetup.dll','');
 QuarantineFile('\\?\globalroot\systemroot\system32\iCRGirN.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\iCRGirN.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(13);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Bogdanovskaya]

Мне не удается корректно выполнить первый скрипт.
В процессе "поиск IIS - удаление файлов журнала", мне выводится системное сообщение Windows о том, что отсутствует диск со следующим текстом:
Exception Processing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c

AVZ зависает, после принудительного отключения у меня не управляется компьютер, на любое действие "отказано в доступе", после перезагрузки все в норме, вроде бы.

[polword]

подправил. Выполните сейчас

[Bogdanovskaya]

сделала

[AndreyKa]

Пофиксите в HijackThis следующие строки:

O1 - Hosts: 85.12.46.140 odnoklassniki.ru
O1 - Hosts: 85.12.46.140 www.odnoklassniki.ru
O1 - Hosts: 85.12.46.140 vkontakte.ru
O1 - Hosts: 85.12.46.140 www.vkontakte.ru
O1 - Hosts: 85.12.46.140 vk.com
O1 - Hosts: 85.12.46.140 www.vk.com

После перезагрузки сделайте новый лог HijackThis.

Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[Bogdanovskaya]

а я вручную уже удалила эти строки

[Bogdanovskaya]

hosts я чистила вручную, новый лог сделала.
Уязвимости устранила, на данный момент их 0

[AndreyKa]

Проблема решена?

[Bogdanovskaya]

Не знаю, вот это и хочу узнать )) Банер с которого все началось я сама убрала еще до обращения, а сюда обратилась узнать - осталось ли еще какое-либо заражение.

[AndreyKa]

На момент обращения на компьютере был вредоносный файл: \\?\globalroot\systemroot\system32\iCRGirN.exe - Trojan.Packed.20385.
Теперь чисто.

[Bogdanovskaya]

Спасибо, значит решена.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\?\globalroot\systemroot\system32\icrgirn.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20385, BitDefender: Rootkit.37035, AVAST4: Win32:Rootkit-gen [Rtk] )