-
Junior Member
- Вес репутации
- 50
Порновымгатель блокирует поисковики
Добрый день.
Подцепил какую-то заразу, которая блокировала основные поисковики, mail.ru и (возможно) другие популярные сайты, с требованием послать смску на какой то номер ("вы просматривали гей порно видео, оплатите услугу"). Требование было просто в форме строчки текста в обозревателях. Также был заблокирован диспетчер задач и восстановление системы (вроде).
Касперского установить не удалось.
Проверил все AVZ (после переименования) и СureIT. Что-то вылечил. Сейчас интернет не блокирует, однако продолжает блокировать инспектор задач. Полагаю, вылечил не полностью. Что делать дальше?
Заранее спасибо. Прикрепляю логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\73daas3glk5e.exe','');
DeleteFile('D:\WINDOWS\73daas3glk5e.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srv32');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=89154).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Сделал следующее:
1) Выполнил скрипт из вашего сообщения. Комп не перезагрузился, пришлось помочь кнопкой.
2) Залил файл из карантина на сайт.
3) Отключил восстановление системы (не заметил сперва)
4) Сделал скрипт №3, затем еще раз скрипт из вашего сообшения, чтобы перезагрузить (снова помог кнопкой).
5) Сделал скрипт №2.
6) Сделал новый лог RSIT
6) Прикрепил новые логи и создал это сообщение.
ПС. Заметил, что диспетчер задач заработал.
Кстати, вроде вот такая же проблема была. http://virusinfo.info/showthread.php...892#post714892
Последний раз редактировалось Bratez; 02.10.2010 в 16:52.
Причина: убрал лишнее вложение
-
Зараза все еще видна в логе virusinfo_syscure, правда исходя из вышесказанного неясно, отражает ли он текущее состояние системы. Для верности выполните такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\73daas3glk5e.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
и после перезагрузки сделайте этот лог еще раз.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Вот свежие логи.
Кстати, при перезагрузке комп стал предлагать проверить диски (видимо потому что в первые разы "помог перезагрузке" кнопкой. В процессе проверки стал выдавать много сообщений типа (не помню точно) Invalid system security file. Replacing invalind security file with valid security file. Далее порядковый номер. Я "отменил" проверку диска снова кнопкой 
загрузил без проверки.
Последний раз редактировалось Bratez; 02.10.2010 в 18:16.
Причина: убрал лишние вложения
-
Оно таки живо до сих пор.
Давайте попробуем удалить файл
D:\WINDOWS\73daas3glk5e.exe
как описано здесь: http://virusinfo.info/showthread.php?t=17228.
Затем перезагрузите компьютер и сделайте новый лог virusinfo_syscure
(видно только в нем, больше ничего делать и прикреплять не надо).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Логи. Вроде ушло? Что это было?
-
Да, теперь чисто.
Троян был такой хитрый.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Благодарствую.
Интересная работа у вас (если это работа).
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- d:\\windows\\73daas3glk5e.exe - Trojan.Win32.Qhost.ooe ( DrWEB: Trojan.HttpBlock.5, BitDefender: Rootkit.40516, NOD32: Win32/LockWeb.D trojan, AVAST4: Win32:Malware-gen )
-
