saibai Опубликовано 15 апреля, 2010 Жалоба Поделиться Опубликовано 15 апреля, 2010 Здравствуйте форумчане! Прошу помощи в очистке системы после банера. Сразу извиняюсь за то, что логи сделаны не совсем по правилам - компьютер не мой и прямого доступа к сожалению нет, а владелец вообще очень слабо разбирается - "начинающий пользователь", как говориться. С трудом, но мне все же удалось добиться чтоб были сделаны логи ХайДжек и AVZ. Может быть можно по ним что-то будет сделать? Описываю ситуацию: сначала подцепили порнобанер - смс вымогатель. Не самый страшный, как оказалось. Был убит очисткой временных файлов из безопасного режима. Далее не смогли зайти на страничку "Вконтакте" - там тоже требовали смс за разблокировку. Однако, после очистки файла Hosts(было несколько десятков IP-адресов) эта проблема тоже решилась. Но я уверен, что не могло это так просто пройти. Наверняка осталась гадость какая-нибудь. Посмотрите пожалуйста - что можно сделать? Заранее признателен за любую помощь. hijackthis.log virusinfo_syscheck.zip hijackthis.log virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 15 апреля, 2010 Жалоба Поделиться Опубликовано 15 апреля, 2010 (изменено) Пофиксите в HiJack F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe hspe.uvo bnjpidF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\d5f7d964.exe,C:\WINDOWS\system32\485e122c.exe,C:\WINDOWS\system32\65285254.exe,C:\WINDOWS\system32\d28a8f9c.exe,\\?\globalroot\systemroot\system32\zgJVgJ9.exe,C:\WINDOWS\system32\sdra64.exe, Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('globalroot\systemroot\system32\zgJVgJ9.exe','');QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('C:\WINDOWS\system32\d5f7d964.exe','');QuarantineFile('C:\WINDOWS\system32\d28a8f9c.exe','');QuarantineFile('C:\WINDOWS\system32\65285254.exe','');QuarantineFile('C:\WINDOWS\system32\485e122c.exe','');QuarantineFile('C:\Program Files\plugin.exe','');QuarantineFile('C:\DOCUME~1\A9D6~1\LOCALS~1\Temp\netprotocol.dll','');QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');DeleteFile('C:\DOCUME~1\A9D6~1\LOCALS~1\Temp\netprotocol.dll');RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol113\Parameters','ServiceDll');DeleteFile('C:\Program Files\plugin.exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');DeleteFile('C:\WINDOWS\system32\485e122c.exe');DeleteFile('C:\WINDOWS\system32\65285254.exe');DeleteFile('C:\WINDOWS\system32\d28a8f9c.exe');DeleteFile('C:\WINDOWS\system32\d5f7d964.exe');DeleteFile('C:\WINDOWS\system32\sdra64.exe');DeleteFile('globalroot\systemroot\system32\zgJVgJ9.exe');QuarantineFile('%windir%\system32\sfcfiles.dll','');RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');DeleteFile('%windir%\system32\sfcfiles.bak');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится Выполните скрипт в AVZ beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Обновите базы AVZ Сделайте новые логи Изменено 15 апреля, 2010 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти