Добрый день.
Поймали порнобанер. AVPTool и CureIT нашли кучу вирусов.
Но осталось подозрение, что какая-то зараза не удалилась.
Будьте добры, посмотрите логи
Последствия порнобанера
Добрый день.
Поймали порнобанер. AVPTool и CureIT нашли кучу вирусов.
Но осталось подозрение, что какая-то зараза не удалилась.
Будьте добры, посмотрите логи
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\toule.exe'); QuarantineFile('C:\WINDOWS\explorer(2).exe:userini.exe:$DATA',''); QuarantineFile('C:\WINDOWS\explorer(3).exe:userini.exe:$DATA',''); QuarantineFile('C:\WINDOWS\explorer(4).exe:userini.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\03.scr',''); QuarantineFile('C:\WINDOWS\system32\62.scr',''); QuarantineFile('C:\WINDOWS\system32\48.scr',''); QuarantineFile('C:\WINDOWS\system32\sykyl.exe',''); QuarantineFile('c:\windows\system32\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\quyzyfe.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\x_aa8a67e9[1].jpg',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\zruwse.sys',''); QuarantineFile('C:\WINDOWS\system32\samummou.exe',''); QuarantineFile('C:\WINDOWS\system32\goba.exe',''); QuarantineFile('C:\WINDOWS\system32\quounabetto.exe',''); QuarantineFile('c:\windows\system32\toule.exe',''); DeleteFile('c:\windows\system32\toule.exe'); DeleteFile('C:\WINDOWS\system32\quounabetto.exe'); DeleteFile('C:\WINDOWS\system32\goba.exe'); DeleteFile('C:\WINDOWS\system32\samummou.exe'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\zruwse.sys'); DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\x_aa8a67e9[1].jpg'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\quyzyfe.exe'); DeleteFile('c:\windows\system32\wuaucldt.exe'); DeleteFile('C:\WINDOWS\system32\sykyl.exe'); DeleteFile('C:\WINDOWS\system32\48.scr'); DeleteFile('C:\WINDOWS\system32\62.scr'); DeleteFile('C:\WINDOWS\system32\03.scr'); DeleteFile('C:\WINDOWS\explorer(4).exe:userini.exe:$DATA'); DeleteFile('C:\WINDOWS\explorer(3).exe:userini.exe:$DATA'); DeleteFile('C:\WINDOWS\explorer(2).exe:userini.exe:$DATA'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','cokim'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sinnooqu'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','quobip'); DeleteService('bemuzwuhjfmxile'); DeleteService('qieamyiae6o'); DeleteService('ooyxlie3'); DeleteService('gbe5oe96euka'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день
Карантин закачал
Результат загрузки
Файл сохранён как 100721_101629_virus_4c4690bd0fd54.zip
Размер файла 8355
MD5 a219c1e6fb832376ada33e21da4d7467
Файл закачан, спасибо!
Новые логи прикрепляю
Удалите в МВАМ
Код:Зараженные ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. Зараженные файлы: C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\EYML6MK5\1[1].exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken. C:\Documents and Settings\User\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\Documents and Settings\Администратор\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken. C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил.
Что делать дальше?
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо.
Пока все нормално
Пофиксите в HiJack
Больше плохого не видноКод:O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (file missing) O3 - Toolbar: (no name) - {3f8db0d0-d707-4e74-a1f7-d00c40dfb6cc} - (no file) O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file) O3 - Toolbar: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
Установите Acrobat Reader 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 32
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) tryndec, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
