-
Junior Member
- Вес репутации
- 51
Порно-баннер 5121
Вылез порно-баннер "Отправьте смс с текстом 4579310 на номер 5121".
Проверил CureIt'ом в нормальном режиме (в безопасный выйти удается, но поскольку баннер по дефолту всегда поверх _всех_ окон, он в безопасном режиме занимает весь экран, и куда тыкать в CureIt, _абсолютно_ непонятно), нашелся вирус в папке system32/28463/POLG.exe - Trojan.KeyLogger.1438
Чистка этого файла не помогла.
В папке system32/28463/ осталось еще 3 файла polg, датированные сегодняшней датой. Подозреваю, что они могут быть одной из причин баннера.
Поскольку баннер не дает приконнектиться к вай-фаю, пришлось юзать старую версию AVZ.
Последний раз редактировалось Cke4; 25.08.2010 в 09:28.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
QuarantineFile('c:\program files\common files\qip\qip.exe','');
ExecuteRepair(16);
end.
пришлите карантин согласно приложения 3 правил
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил, карантин выслал.
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\common files\qip\qip.exe');
DeleteFile('c:\program files\common files\qip\qip.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Сделайте новый логи по правилам - virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил, лог прикрепляю. Баннер пропал, спасибо. Еще что-то надо сделать?
Последний раз редактировалось Cke4; 25.08.2010 в 09:28.
-
из карантина
c:\program files\common files\qip\qip.exe - Packed.Win32.Krap.gx
G:\autorun.inf - вот этот знаком файл?
-
-
Junior Member
- Вес репутации
- 51
c:\program files\common files\qip\qip.exe - уже вроде удален.
А второй - это с флешки. Наверное, тоже лучше удалить.
-
Packed.Win32.Krap.gx - да, уже удален
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится
Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер. Рекомендуется обновить Java и продукты Adobe
-
-
Junior Member
- Вес репутации
- 51
DefesT, autorun.inf не удаляется. После перезагрузки все еще существует на флешке. Запускал скрипт дважды. ИЕ - дефолтный браузер, сижу в нем не вылезая. Кроме обновлений больше никаких манипуляций делать не надо?
-
Сообщение от
Cke4
autorun.inf не удаляется.
Вручную пробовали удалить?
-
-
Junior Member
- Вес репутации
- 51
И вручную пробовал, естественно. Не удалялся. Но я с ним уже справился. Спасибо всем за помощь. Всё необходимое обновлю.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\qip\qip.exe - Packed.Win32.Krap.gx ( DrWEB: Trojan.Packed.20343, BitDefender: Backdoor.Generic.375117 )
-